Gerät

Ethernet:

–Intern: LAN (Ports: XF2-4 bzw. XF2-5)

–Extern: WAN (Port: XF1)

–DMZ: DMZ (Port: XF5)

FL MGUARD 2102

LAN: 1
WAN: 1

FL MGUARD 4302

LAN: 1
WAN: 1

FL MGUARD 2105

LAN: 4
WAN: 1

FL MGUARD 4305

LAN: 3
WAN: 1
DMZ: 1

FL MGUARD 4102 PCI(E)

LAN: 1
WAN: 1

FL MGUARD 2000/4000

WAN

XF1

(n/a)

(n/a)

LAN1

XF2

swp2

swp0

FL MGUARD 2105/4305

LAN2

XF3

swp0

swp1

LAN3

XF4

swp1

swp2

FL MGUARD 2105

LAN4

XF5

swp3

swp3

FL MGUARD 4305

DMZ

XF5

swp4

dmz0

Nicht bei FL MGUARD 2105/FL MGUARD 4305

LAN5

(n/a)

swp4

(n/a)

Bei den Geräten der neuen Gerätegeneration ist die Werkseinstellung wie folgt: Netzwerk-Modus „Router“, Router-Modus „DHCP“.

Wird der mGuard im Router-Modus betrieben, muss er bei lokal angeschlossenen Rech­nern als Standard-Gateway festgelegt sein.

Das heißt, dass bei diesen Rechnern die IP-Adresse des LAN-Ports des mGuards als Ad­resse des Standard-Gateway anzugeben ist.

Wenn der mGuard im Router-Modus betrieben wird und die Verbindung zum Internet her­stellt, dann sollte NAT aktiviert werden (siehe „Netzwerk >> NAT“ auf Seite 136).

Nur dann erhalten die Rechner im angeschlossenen lokalen Netz über den mGuard Zu­griff auf das Internet. Ist NAT nicht aktiviert, können eventuell nur VPN-Verbindungen ge­nutzt werden.

Im Single-Stealth-Modus muss eine auf dem Rechner installierte Firewall ICMP-Echo-Requests (Ping) zulassen, wenn der mGuard Dienste wie VPN, DNS, NTP etc. bereitstel­len soll.

Im Stealth-Modus hat der mGuard die interne IP-Adresse 1.1.1.1, welche vom Rechner erreichbar ist, wenn das auf dem Rechner konfigurierte Standard-Gateway erreichbar ist.

In den Stealth-Konfigurationen „Automatisch“ und „Statisch“ ist der Aufbau einer vom internen Client ausgehenden VPN-Verbindung durch den mGuard hindurch nicht mög­lich.

Für die Nutzung bestimmter Funktionen (z. B. automatische Updates oder Aufbau von VPN-Verbindungen) ist es erforderlich, dass der mGuard auch im Stealth-Modus eigene Anfragen an externe Server stellt.

Diese Anfragen sind nur möglich, wenn der lokal angeschlossenen Rechner Ping-Anfra­gen zulässt. Konfigurieren Sie dessen Sicherheitseinstellungen entsprechend.

Netzwerk-Status

Externe IP-Adresse

Nur Anzeige: Die Adressen, unter denen der mGuard von Ge­räten des externen Netzes aus erreichbar ist. Sie bilden die Schnittstelle zu anderen Teilen des LAN oder zum Internet. Findet hier der Übergang zum Internet statt, werden die IP-Ad­ressen normalerweise vom Internet Service Provider (ISP) vorgegeben. Wird dem mGuard eine IP-Adresse dynamisch zugeteilt, können Sie hier die gerade gültige IP-Adresse nach­schlagen.

Im Stealth-Modus übernimmt der mGuard die Adresse des lokal angeschlossenen Rechners als seine externe IP.

Aktive Standard-Route über

Nur Anzeige: Hier wird die IP-Adresse angezeigt, über die der mGuard versucht, ihm unbekannte Netze zu erreichen. Wurde keine Standard-Route festgelegt, bleibt das Feld leer.

Benutzte DNS-Server

Nur Anzeige: Hier wird der Name der DNS-Server angezeigt, die vom mGuard zur Namensauflösung benutzt werden. Diese Information kann nützlich sein, wenn der mGuard z. B. die DNS-Server verwendet, welche ihm vom Internet Service Provider vorgegeben werden.

Netzwerk-Modus

Netzwerk-Modus

Router / Stealth

Der mGuard muss auf den Netzwerk-Modus gestellt werden, der seiner Einbindung in das Netzwerk entspricht

.

Siehe auch:

„Überblick: Netzwerk-Modus „Router““ auf Seite 117 und „Überblick: Netzwerk-Modus „Stealth““ auf Seite 118.

Abhängig von der Auswahl des Netzwerkmodus und je nach mGuard-Gerät stehen unter­schiedliche Einstellungsmöglichkeiten auf der Web-Oberfläche zur Verfügung:

Router-Modus

(Nur wenn Netzwerk-Modus „Router“ ausgewählt wurde)

Statisch / DHCP

Für eine umfassende Beschreibung siehe:

–„Router-Modus: Statisch“ auf Seite 117

–„Router-Modus: DHCP“ auf Seite 117

Stealth-Konfiguration

(Nur wenn Netzwerk-Modus „Stealth“ ausgewählt wurde)

Automatisch / Statisch / Mehrere Clients

Automatisch

Der mGuard analysiert den Netzwerkverkehr, der über ihn läuft, und konfiguriert dementsprechend seine Netzwerkan­bindung eigenständig. Er arbeitet transparent.

Statisch

Wenn der mGuard keinen über ihn laufenden Netzwerkver­kehr analysieren kann, z. B. weil zum lokal angeschlossenen Rechner nur Daten ein-, aber nicht ausgehen, dann muss die Stealth-Konfiguration auf Statisch gesetzt werden. In diesem Fall stellt die Seite unten weitere Eingabefelder zur statischen Stealth-Konfiguration zur Verfügung.

Mehrere Clients

(Standard) Wie bei Automatisch, es können jedoch mehr als nur ein Rechner am LAN-Port (gesicherter Port) des mGuards angeschlossen sein und somit mehrere IP-Adressen am LAN-Port (gesicherter Port) des mGuards verwendet werden.

Automatische Konfi­guration: Ignoriere NetBIOS über TCP auf TCP-Port 139

(Nur bei Stealth-Konfiguration Automatisch)

Hat ein Windows-Rechner mehr als eine Netzwerkkarte instal­liert, kann es vorkommen, dass er in den von ihm ausgehen­den Datenpaketen abwechselnd unterschiedliche IP-Adres­sen als Absenderadresse benutzt. Das betrifft Netzwerkpakete, die der Rechner an den TCP-Port 139 (Net­BIOS) sendet. Da der mGuard aus der Absenderadresse die Adresse des Rechners ermittelt (und damit die Adresse, unter der der mGuard erreichbar ist), müsste der mGuard entspre­chend hin- und herschalten, was den Betrieb erheblich stören würde. Um das zu verhindern, aktivieren Sie die Funktion, so­fern Sie den mGuard an einem Rechner angeschlossen ha­ben, der diese Eigenarten aufweist.

Externe Netzwerke

Die Adressen, unter denen der mGuard von externen Geräten erreichbar ist, die sich hinter dem WAN-Port befinden. Findet hier der Übergang zum Internet statt, wird die externe IP-Adresse des mGuards vom Internet Service Provider (ISP) vorgegeben.

IP-Adresse

IP-Adresse, unter welcher der mGuard über seinen WAN-Port erreichbar sein soll.

Netzmaske

Die Netzmaske des am WAN-Port angeschlossenen Netzes.

Verwende VLAN

Wenn die IP-Adresse innerhalb eines VLANs liegen soll, akti­vieren Sie die Funktion.

VLAN-ID

–Eine VLAN-ID zwischen 1 und 4095.

–Eine Erläuterung des Begriffes „VLAN“ befindet sich im Glossar auf Seite 341.

–Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht werden.

OSPF-Area

(Nur wenn OSPF aktiviert ist)

Verknüpft statisch konfigurierte oder über DHCP zugewie­sene Adressen/Routen der externen Netzwerkschnittstelle mit einer OSPF-Area (siehe „Netzwerk >> Dynamisches Rou­ting“ auf Seite 157).

Zusätzliche externe Routen

Zusätzlich zur Standard-Route über das unten angegebene Standard-Gateway können Sie weitere externe Routen festlegen.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Siehe auch „Netzwerk-Beispielskizze“ auf Seite 35.

Standard-Gateway

IP-Adresse des Stan­dard-Gateways

Hier kann die IP-Adresse eines Gerätes im lokalen Netz (an­geschlossen am LAN-Port) oder die IP-Adresse eines Gerä­tes im externen Netz (angeschlossen am WAN-Port) angege­ben werden.

Wird der mGuard innerhalb des LANs eingesetzt, wird die IP-Adresse des Standard-Gateways vom Netzwerk-Administra­tor vorgegeben.

Interne Netzwerke

IP-Adresse

IP-Adresse, unter der das mGuard-Gerät über seinen LAN-Port aus dem lokal angeschlossenen Netzwerk erreichbar sein soll.

Im Router-Modus ist werkseitig voreingestellt:

–IP-Adresse:    192.168.1.1

–Netzmaske:    255.255.255.0

Sie können weitere Adressen festlegen, unter denen der mGuard von Geräten des lokal angeschlossenen Netzes an­gesprochen werden kann. Das ist zum Beispiel dann hilfreich, wenn das lokal angeschlossene Netz in Subnetze unterteilt wird. Dann können mehrere Geräte aus verschiedenen Sub­netzen den mGuard unter unterschiedlichen Adressen errei­chen.

Netzmaske

Die Netzmaske des am LAN-Port angeschlossenen Netzes.

Verwende VLAN

Wenn die IP-Adresse innerhalb eines VLANs liegen soll, akti­vieren Sie die Funktion.

VLAN-ID

–Eine VLAN-ID zwischen 1 und 4095.

–Eine Erläuterung des Begriffes „VLAN“ befindet sich im Glossar auf 341.

–Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht werden.

OSPF-Area

(Nur wenn OSPF aktiviert ist)

Verknüpft die statischen Adressen/Routen der internen Netz­werkschnittstelle mit einer OSPF-Area (siehe „Netzwerk >> Dynamisches Routing“ auf Seite 157).

Zusätzliche Interne Routen

Wenn am lokal angeschlossen Netz weitere Subnetze angeschlossen sind, können Sie zusätzliche Routen definieren.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Siehe auch „Netzwerk-Beispielskizze“ auf Seite 35.

DMZ-Netzwerke

(Nur bei FL MGUARD 4305)

IP-Adressen

IP-Adresse, unter der der mGuard von Geräten des am DMZ-Port angeschlossenen Netzes erreichbar ist.

Im Netzwerk-Modus „Router“ ist für jede neu hinzugefügte Tabellenzeile werkseitig voreingestellt:

–IP-Adresse:    192.168.3.1

–Netzmaske:    255.255.255.0

Sie können weitere Adressen festlegen, unter der der mGuard von Geräten am DMZ-Port angeschlossenen Netzen ange­sprochen werden kann. Das ist zum Beispiel dann hilfreich, wenn das am DMZ-Port angeschlossenen Netze in Subnetze unterteilt wird. Dann können mehrere Geräte aus verschiede­nen Subnetzen den mGuard unter unterschiedlichen Adres­sen erreichen.

IP-Adresse

IP-Adresse, unter welcher der mGuard über seinen DMZ-Port erreichbar sein soll.

Default: 192.168.3.1

Netzmaske

Die Netzmaske des am DMZ-Port angeschlossenen Netzes.

Default: 255.255.255.0

OSPF-Area

(Nur wenn OSPF aktiviert ist)

Verknüpft die statischen Adressen/Routen der DMZ-Netz­werkschnittstelle mit einer OSPF-Area (siehe „Netzwerk >> Dynamisches Routing“ auf Seite 157).

Zusätzliche DMZ-Routen

Wenn am DMZ weitere Subnetze angeschlossen sind, können Sie zusätzliche Routen definieren.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Default:192.168.3.0/24

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Siehe auch „Netzwerk-Beispielskizze“ auf Seite 35.

Default: 192.168.3.254

Stealth-Management

Hier können Sie weitere Management-IP-Adresse angeben, über die der mGuard admi­nistriert werden kann.

Wenn

–unter Stealth-Konfiguration die Option Mehrere Clients gewählt ist oder

–der Client ARP-Anfragen nicht beantwortet oder

–kein Client vorhanden ist,

dann ist der Fernzugang über HTTPS, SNMP und SSH nur über diese Adresse möglich.

IP-Adresse

Management-IP-Adresse, unter welcher der mGuard erreich­bar und administrierbar sein soll.

Die IP-Adresse „0.0.0.0“ deaktiviert die Management-IP-Ad­resse.

Ändern Sie zuerst die Management-IP-Adresse, bevor Sie zu­sätzliche Adressen angeben.

Netzmaske

Die Netzmaske zu obiger IP-Adresse.

VLAN verwenden

Diese Option ist nur gültig, wenn Sie die Option „Stealth-Kon­figuration“  auf „Mehrere Clients“ gesetzt haben.

IP-Adresse und Netzmaske des VLAN-Ports.

Wenn die IP-Adresse innerhalb eines VLANs liegen soll, akti­vieren Sie die Funktion.

VLAN-ID

Diese Option ist nur gültig, wenn Sie die Option „Stealth-Kon­figuration“  auf „Mehrere Clients“ gesetzt haben.

–Eine VLAN-ID zwischen 1 und 4095.

–Eine Erläuterung finden Sie unter „VLAN“ auf Seite 341.

–Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht werden.

Standard-Gateway

Das Standard-Gateway des Netzes, in dem sich der mGuard befindet.

Route folgende Netzwerke über Alternative Gateways

Statische Routen

In den Stealth-Modi „Automatisch“ und „Statisch“ übernimmt der mGuard das Standard-Gateway des Rechners, der an seinen LAN-Port angeschlossen ist. Dies gilt nicht, wenn eine Management IP-Adresse mit Standard-Gateway konfiguriert ist.

Für Datenpakete ins WAN, die der mGuard selber erzeugt, können alternative Routen festgelegt werden. Dazu gehören u. a. die Pakete folgender Datenverkehre:

–das Herunterladen von Zertifikats-Sperrlisten (CRL)

–das Herunterladen einer neuen Konfiguration

–die Kommunikation mit einem NTP-Server (zur Zeit-Synchronisation)

–das Versenden und Empfangen verschlüsselter Datenpakete von VPN-Verbindun­gen

–Anfragen an DNS-Server

–Log-Meldungen

–das Herunterladen von Firmware-Updates

–das Herunterladen von Konfigurationsprofilen von einem zentralen Server (sofern konfiguriert)

–SNMP-Traps

Soll diese Option genutzt werden, machen Sie nachfolgend die entsprechenden Anga­ben. Wird sie nicht genutzt, werden die betreffenden Datenpakete über das beim Client festgelegte Standard-Gateway geleitet.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Die hier festgelegten Routen gelten für Datenpakete, die der mGuard selber erzeugt, als unbedingte Routen. Diese Festle­gung hat Vorrang vor sonstigen Einstellungen (siehe auch „Netzwerk-Beispielskizze“ auf Seite 35).

Einstellungen Stealth-Modus (statisch)

(Nur bei Auswahl „statische“ Stealth-Konfiguration)

IP-Adresse des Clients

Die IP-Adresse des am LAN-Port angeschlossenen Rech­ners.

MAC-Adresse des Clients

Das ist die physikalische Adresse der Netzwerkkarte des lo­kalen Rechners, an dem der mGuard angeschlossen ist.

•Die MAC-Adresse ermitteln Sie wie folgt:

Auf der DOS-Ebene (Menü Start, Alle Programme, Zube­hör, Eingabeaufforderung) folgenden Befehl eingeben: ipconfig /all

Die Angabe der MAC-Adresse ist nicht unbedingt erforderlich. Denn der mGuard kann die MAC-Adresse automatisch vom Client erfragen. Hierfür muss die MAC-Adresse 0:0:0:0:0:0 eingestellt werden. Zu beachten ist, dass der mGuard aber erst dann Netzwerkpakete zum Client hindurchleiten kann, nachdem er die MAC-Adresse vom Client ermitteln konnte.

Ist im statischen Stealth-Modus weder eine Stealth Manage­ment IP-Adresse noch die MAC-Adresse des Clients konfigu­riert, werden DAD-ARP-Anfragen auf dem internen Interface versendet (siehe RFC 2131 „Dynamic Host Configuration Pro­tocol“, Abschnitt 4.4.1)

Port-Mirroring

(Nur bei FL MGUARD 4305)

Port-Mirroring-Emp­fänger

Der integrierte Switch beherrscht das Port-Mirroring, um den Netzwerkverkehr zu beobachten. Dabei können Sie entschei­den, welche Ports Sie beobachten wollen. Der Switch schickt dann Kopien von Daten-Frames der beobachteten Ports an einen dafür ausgewählten Port.

Die Port-Mirroring-Funktion ermöglicht es, beliebige Frames an einen bestimmten Empfänger weiterzuleiten. Sie können den Empfänger-Port oder die Spiegelung der ein- und ausge­hende Frames von jedem Switch-Port auswählen.

MAU-Konfiguration

Konfiguration und Statusanzeige der Ethernet-Anschlüsse:

Port

Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht.

Medientyp

Medientyp des Ethernet-Anschlusses.

Automatische Konfi­guration

Aktiviert: Versucht die benötigte Betriebsart automatisch zu ermitteln.

Deaktiviert: Verwendet die vorgegebene Betriebsart aus der Spalte „Manuelle Konfiguration“

Manuelle Konfigura­tion

Die gewünschte Betriebsart, wenn Automatische Konfigu­ration deaktiviert ist.

Aktueller Modus

Die aktuelle Betriebsart des Netzwerkanschlusses.

Port an

Schaltet den Ethernet-Anschluss auf Ein oder Aus.

Link-Überwachung

Ist nur sichtbar, wenn unter „Verwaltung >> Service I/O >> Alarmausgang“  der Unterpunkt „Link-Überwachung“  auf „Überwachen“ steht.

Bei einer Link-Überwachung wird der Alarmausgang geöffnet, wenn ein Link keine Konnektivität aufweist.

Port-Mirroring

(Nur bei FL MGUARD 4305)

Die Port-Mirroring-Funktion ermöglicht es, beliebige Frames an einen bestimmten Empfänger weiterzuleiten. Sie können den Empfänger-Port oder die Spiegelung der ein- und ausge­hende Frames von jedem Switch-Port auswählen.

Auflösung der MAC-Adres­sen

(Nur bei FL MGUARD 4305)

Port

Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht.

MAC-Adressen

Liste der MAC-Adressen der angeschlossenen ethernetfähi­gen Geräte.

Der Switch kann MAC-Adressen lernen, die zu den Ports sei­nes angeschlossenen ethernetfähigen Geräte gehören. Der Inhalt der Liste kann über die Schaltfläche „Leeren“ gelöscht werden.

Port-Statistik

(Nur bei FL MGUARD 4305)

Für jeden physikalisch erreichbaren Port des integrierten Managed Switch wird eine Sta­tistik angezeigt. Der Zähler kann über die Web-Oberfläche oder diesen Befehl zurückge­setzt werden:

/Packages/mguard-api_0/mbin/action switch/reset-phy-counters 

Port

Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht.

TX-Kollisionen

Anzahl der Fehler beim Senden der Daten

TX-Oktette

Gesendetes Datenvolumen

RX-FCS-Fehler

Anzahl an empfangenen Frames mit ungültiger Prüfsumme

RX-gültige Oktette

Volumen der empfangene gültigen Daten

Nur verfügbar bei FL MGUARD 4305.

Statische Multicast-Gruppen

Statische Multicast-Gruppen

Hinweis: Damit Daten in Statischen Multicast-Gruppen kor­rekt an die konfigurierten Ports weitergeleitet werden, muss „IGMP-Snooping“ aktiviert werden (siehe unten).

Multicast ist eine Technologie, die es ermöglicht, Daten an eine Gruppe von Empfängern zu versenden, ohne dass diese vom Sender mehrmals versendet werden müssen. Die Daten­vervielfältigung erfolgt durch die Verteiler innerhalb des Net­zes.

Sie können eine Liste mit Multicast-Gruppen-Adressen er­stellen. Die Daten werden an die konfigurierten Ports (XF2 ... XF4) weitergeleitet.

Allgemeine Multicast-Konfiguration

IGMP-Snooping

(Nicht aktiv im Netzwerk-Modus „Stealth“)

Durch IGMP-Snooping garantiert der Switch, dass Multicast-Daten nur über Ports weitergeleitet werden, die für diese An­wendung vorgesehen sind.

IGMP-Snoop-Aging

Zeitraum, nach dem die Zugehörigkeit zu der Multicast-Gruppe gelöscht wird in Sekunden.

IGMP-Anfrage

Eine Multicast-Gruppe wird über IGMP an- und abgemeldet. Hier kann die Version von IGMP ausgewählt werden.

Die IGMP-Version v1 (IGMPv1) wird nicht mehr unterstützt. Alle Geräte der neuen Gerätegeneration unterstützen aus­schließlich die IGMP-Version v2 (IGMPv2).

IGMP-Anfrage-Intervall

Abstand, in dem IGMP-Anfragen erzeugt werden, in Sekun­den.

Bei einer Änderung des Intervalls, werden neue IGMP-Anfra­gen erst nach Ablauf des zuvor konfigurierten Intervalls er­zeugt.

Multicast-Gruppen

Anzeige der Multicast-Gruppen. Die Anzeige enthält alle statischen Einträge und die dy­namischen Einträge, die durch IGMP-Snooping entdeckt werden.

ARP-Timeout

ARP-Timeout

Lebensdauer der Einträge in der ARP-Tabelle.

Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

In der ARP-Tabelle werden MAC- und IP-Adressen einander zugeordnet.

MTU-Einstellungen

MTU des ... Interface

Die Maximum Transfer Unit (MTU) beschreibt die maximale IP-Paketlänge, die beim betreffenden Interface benutzt wer­den darf.

Erlaubte Werte: 68 - 1500

Bei VLAN-Interface gilt:

Network Address Transla­tion/IP-Masquerading

Listet die festgelegten Regeln für NAT (Network Address Translation) auf.

Das Gerät kann bei ausgehenden Datenpaketen die in ihnen angegebenen Absender-IP-Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben, eine Technik, die als NAT (Network Address Translation) bezeichnet wird (siehe auch NAT (Network Address Translation) im Glossar).

Diese Methode wird z. B. benutzt, wenn die internen Adressen extern nicht geroutet wer­den können oder sollen, z. B. weil ein privater Adressbereich wie 192.168.x.x oder die in­terne Netzstruktur verborgen werden sollen.

Die Methode kann auch dazu genutzt werden, um externe Netzwerkstrukturen vor den in­ternen Geräten zu verbergen. Dazu können Sie unter   „Ausgehend über Interface“  die Auswahl Intern einstellen. Die Einstellung Intern ermöglicht die Kommunikation zwi­schen zwei separaten IP-Netzen, bei denen die IP-Geräte keine (sinnvolle) Standard-Route bzw. differenziertere Routing-Einstellungen konfiguriert haben (z. B. SPSsen ohne entsprechende Einstellung). Dazu müssen unter   „1:1-NAT“   die entsprechenden Einstel­lungen vorgenommen werden.

Dieses Verfahren wird auch IP-Masquerading genannt.

Werkseinstellungen: IP-Masquerading ist aktiv für Pakete, die aus dem internen Netz­werk (LAN) in das externe Netzwerk (WAN) geroutet werden (LAN --> WAN).

Ausgehend über Inter­face

Intern / Extern / DMZ / Alle Externen

Gibt an, über welches Interface die Datenpakete ausgehen, damit sich die Regel auf sie bezieht.

„Alle Externen“ bezieht sich bei FL MGUARD 2000/4000-Ge­räten auf „Extern“.

Es wird eine Maskierung definiert, die im Router-Modus für Netzwerk-Datenströme gilt. Diese Datenströme werden so initiiert, dass sie zu einem Zielgerät führen, das über die aus­gewählte Netzwerkschnittstelle des mGuards erreichbar ist.

Dafür ersetzt der mGuard in allen zugehörigen Datenpaketen die IP-Adresse des Initiators durch eine geeignete IP-Adresse der ausgewählten Netzwerkschnittstelle. Die Wirkung ist ana­log zu den anderen Werten derselben Variablen. Dem Ziel des Datenstroms bleibt die IP-Adresse des Initiators verbor­gen. Insbesondere benötigt das Ziel keine Routen, nicht ein­mal eine Standard-Route (Standard-Gateway), um in so einem Datenstrom zu antworten.

Von IP

0.0.0.0/0 bedeutet, alle internen IP-Adressen werden dem NAT-Verfahren unterzogen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Namen von IP-Gruppen, sofern definiert. Bei Angabe eines Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 209).

Kommentar

Kann mit kommentierendem Text gefüllt werden.

1:1-NAT

Listet die festgelegten Regeln für 1:1-NAT (Network Address Translation) auf.

Bei 1:1-NAT werden die Absender-IP-Adressen so ausgetauscht, dass jede einzelne gegen eine bestimmte andere ausgetauscht wird, und nicht wie beim IP-Masquerading gegen eine für alle Datenpakete identische. So wird ermöglicht, dass der mGuard die Ad­ressen des realen Netzes in das virtuelle Netz spiegeln kann.

Beispiel:

Der mGuard ist über seinen LAN-Port an Netzwerk 192.168.0.0/24 angeschlossen, mit seinem WAN-Port an Netzwerk 10.0.0.0/24. Durch das 1:1-NAT lässt sich der LAN-Rech­ner 192.168.0.8 im virtuellen Netz unter der IP-Adresse 10.0.0.8 erreichen.

Der mGuard beansprucht die für „Virtuelles Netzwerk“ angegebenen IP-Adressen für die Geräte in seinem „Realen Netzwerk“. Der mGuard antwortet stellvertretend für die Geräte aus dem „Realen Netzwerk“ mit ARP-Antworten zu allen Adressen aus dem angegebe­nen „Virtuellen Netzwerk“. Die unter „Virtuelles Netzwerk“ angegebenen IP-Adressen müssen frei sein. Sie dürfen nicht für andere Geräte vergeben oder gar in Benutzung sein, weil sonst im virtuellen Netzwerk ein IP-Adressenkonflikt entsteht. Dies gilt selbst dann, wenn zu einer oder mehreren IP-Adressen aus dem angegebenen „Virtuellen Netzwerk“ gar kein Gerät im „Realen Netzwerk" existiert.

Werkseinstellung: Es findet kein 1:1-NAT statt.

Reales Netzwerk

Die reale IP-Adresse des Clients, der aus einem anderen Netz über die virtuelle IP-Adresse erreichbar sein soll (je nach Sze­nario am LAN-, WAN- oder DMZ-Port).

Je nach Netzmaske können ein oder mehrere Clients erreich­bar sein.

1:1-NAT ist zwischen allen Interfaces möglich (LAN <–> WAN, LAN <–> DMZ, DMZ <–> WAN).

Virtuelles Netzwerk

Die virtuelle IP-Adresse, über die die Clients aus dem anderen Netz erreichbar sind (je nach Szenario am LAN-, WAN- oder DMZ-Port).

1:1-NAT ist zwischen allen Interfaces möglich (LAN <–> WAN, LAN <–> DMZ, DMZ <–> WAN).

Netzmaske

Die Netzmaske als Wert zwischen 1 und 32 für die lokale und externe Netzwerkadresse (siehe auch „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

ARP aktivieren

Bei aktivierter Funktion werden ARP-Anfragen an das virtuelle Netzwerk stellvertretend vom mGuard beantwortet. Somit können Hosts, die sich im realen Netzwerk befinden, über ihre virtuelle Adresse erreicht werden.

Bei deaktivierter Funktion bleiben ARP-Anfragen an das virtu­elle Netzwerk unbeantwortet. Hosts im realen Netzwerk sind dann nicht erreichbar.

Kommentar

Kann mit kommentierendem Text gefüllt werden.

IP- und Port-Weiterleitung

Listet die festgelegten Regeln zur Port-Weiterleitung (DNAT = Destination-NAT) auf.

Bei IP- und Port-Weiterleitung geschieht Folgendes: Der Header eingehender Datenpa­kete aus dem externen Netz, die an die externe IP-Adresse (oder eine der externen IP-Adressen) des mGuards sowie an einen bestimmten Port des mGuards gerichtet sind, werden so umgeschrieben, dass sie ins interne Netz an einen bestimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden. D. h. die IP-Adresse und Port-Nummer im Header eingehender Datenpakete werden geändert.

Die IP- und Port-Weiterleitung aus dem internen Netz erfolgt analog zum oben beschrie­benen Verhalten.

Protokoll: TCP / UDP / GRE

Geben Sie hier das Protokoll an, auf das sich die Regel bezie­hen soll.

GRE

IP-Pakete des GRE-Protokolls können weitergeleitet werden. Allerdings wird nur eine GRE-Verbindung zur gleichen Zeit un­terstützt. Wenn mehr als ein Gerät GRE-Pakete an die selbe externe IP-Adresse sendet, kann der mGuard möglicherweise Antwortpakete nicht korrekt zurückleiten. Wir empfehlen, GRE-Pakete nur von bestimmten Sendern weiterzuleiten. Das können solche sein, für deren Quelladresse eine Weiterlei­tungsregel eingerichtet ist, indem im Feld „Von IP“ die Ad­resse des Senders eingetragen wird, zum Beispiel 193.194.195.196/32.

Von IP

Absenderadresse, für die Weiterleitungen durchgeführt wer­den sollen.

0.0.0.0/0 bedeutet alle Adressen. Um einen Bereich anzuge­ben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 34).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe  „IP- und Portgruppen“ auf Seite 209 ).

Von Port

Absenderport, für den Weiterleitungen durchgeführt werden sollen.

any bezeichnet jeden beliebigen Port.

Er kann entweder über die Port-Nummer oder über den ent­sprechenden Servicenamen angegeben werden, z. B. pop3 für Port 110 oder http für Port 80.

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 209).

Eintreffend auf IP

–Geben Sie hier die externe IP-Adresse (oder eine der ex­ternen IP-Adressen) des mGuards an, oder

–geben Sie hier die interne IP-Adresse (oder eine der inter­nen IP-Adressen) des mGuards an, oder

–verwenden Sie Variable: %extern (wenn ein dynami­scher Wechsel der externen IP-Adresse des mGuards er­folgt, so dass die externe IP-Adresse nicht angebbar ist).

Die Angabe von %extern bezieht sich bei der Verwen­dung von mehreren statischen IP-Adressen für den WAN-Port immer auf die erste IP-Adresse der Liste.

Eintreffend auf Port

Original-Ziel-Port, der in eingehenden Datenpaketen angege­ben ist.

Er kann entweder über die Port-Nummer oder über den ent­sprechenden Servicenamen angegeben werden, z. B. pop3 für Port 110 oder http für Port 80.Beim Protokoll „GRE“ ist diese Angabe irrelevant. Sie wird vom mGuard ignoriert.

Weiterleiten an IP

IP-Adresse, an die die Datenpakete weitergeleitet werden sol­len und auf die die Original-Zieladressen umgeschrieben wird.

Weiterleiten an Port

Port, an den die Datenpakete weitergeleitet werden sollen und auf den die Original-Port-Angaben umgeschrieben werden.

Er kann entweder über die Port-Nummer oder über den ent­sprechenden Servicenamen angegeben werden, z. B. pop3 für Port 110 oder http für Port 80.Beim Protokoll „GRE“ ist diese Angabe irrelevant. Sie wird vom mGuard ignoriert.

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede einzelne Port-Weiterleitungs-Regel können Sie fest­legen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll - Funktion Log akti­vieren

–oder nicht - Funktion Log deaktivieren (werkseitige Vor­einstellung).

DNS

Soll der mGuard von sich aus eine Verbindung zu einer Gegenstelle aufbauen (zum Bei­spiel VPN-Gateway oder NTP-Server) und wird ihm diese in Form eines Hostnamens an­gegeben (d. h. in der Form www.example.com), dann muss der mGuard ermitteln, wel­che IP-Adresse sich hinter dem Hostnamen verbirgt. Dazu nimmt er Verbindung zu einem Domain Name Server (DNS) auf, um dort die zugehörige IP-Adresse zu erfragen. Die zum Hostnamen ermittelte IP-Adresse wird im Cache gespeichert, damit sie bei weiteren Hostnamensauflösungen direkt, d. h. schneller gefunden werden kann.

Durch die Funktion Lokale Auflösung von Hostnamen kann der mGuard außerdem so konfiguriert werden, dass er selber DNS-Anfragen für lokal verwendete Hostnamen be­antwortet, indem er auf ein internes, zuvor konfiguriertes Verzeichnis zugreift.

Die lokal angeschlossenen Clients können (manuell oder per DHCP) so konfiguriert wer­den, dass als Adresse des zu benutzenden DNS-Servers die lokale Adresse des mGuards verwendet wird.

Wird der mGuard im Stealth-Modus betrieben, muss bei den Clients die Management IP-Adresse des mGuards verwendet werden (sofern diese konfiguriert ist), oder es muss die IP-Adresse 1.1.1.1 als lokale Adresse des mGuards angegeben werden.

Zustand des DNS-Auf­lösers

Status der Auflösung des Hostnamens

Benutzte DNS-Server

DNS-Server, bei denen die zugehörige IP-Adresse erfragt wurde.

Zu benutzende Name­server

DNS-Root-Nameserver

Anfragen werden an die Root-Nameserver im Internet gerich­tet, deren IP-Adressen im mGuard gespeichert sind. Diese Adressen ändern sich selten.

Provider-definiert (d. h. via DHCP)

Es werden die DNS-Server des Internet Service Providers (ISP) benutzt, der den Zugang zum Internet zur Verfügung stellt. Wählen Sie diese Einstellung nur dann, wenn der mGuard im Router-Modus mit DHCP arbeitet.

Die Einstellung kann ebenfalls verwendet werden, wenn der mGuard sich im Stealth-Modus (Automatisch) befindet. In diesem Fall wird der DNS-Server, den der Client verwendet, erkannt und übernommen.

Benutzerdefiniert (unten stehende Liste)

Ist diese Einstellung gewählt, nimmt der mGuard mit den DNS-Servern Verbindung auf, die in der Liste Benutzerdefi­nierte DNS-Server aufgeführt sind.

Benutzerdefinierte DNS-Server

(Nur wenn als Nameserver Benutzer­definiert ausgewählt wurde)

In dieser Liste können Sie die IP-Adressen von DNS- Servern erfassen. Sollen diese vom mGuard benutzt werden, muss oben unter Zu benutzende Nameserver die Option „Be­nutzerdefiniert (unten stehende Liste)“ eingestellt sein.

Lokale Auflösung von Host­namen

Sie können zu verschiedenen Domain-Namen jeweils mehrere Einträge mit Zuordnungs­paaren von Hostnamen und IP-Adressen konfigurieren.

Sie haben die Möglichkeit, Zuordnungspaare von Hostnamen und IP-Adressen neu zu definieren, zu ändern (editieren) und zu löschen. Ferner können Sie für eine Domain die Auflösung von Hostnamen aktivieren oder deaktivieren. Und Sie können eine Domain mit all ihren Zuordnungspaaren löschen.

Tabelle mit Zuordnungspaaren für eine Domain anlegen:

•Eine neue Zeile öffnen und in dieser auf das Icon  Zeile bearbeiten klicken.

Zuordnungspaare, die zu einer Domain gehören, ändern oder löschen:

•In der betreffenden Tabellenzeile auf das Icon  Zeile bearbeiten klicken.

Nach Klicken auf Zeile bearbeiten wird die Registerkarte für DNS-Einträge ange­zeigt:

Domain-Name

Der Name kann frei vergeben werden, muss aber den Regeln für die Vergabe von Domain-Namen folgen. Wird jedem Host­namen zugeordnet.

Aktiv

Aktiviert oder deaktiviert die Funktion Lokale Auflösung von Hostnamen für die im Feld „Domain-Name“ angegebene Do­main.

Auch IP-Adressen auf­lösen

Deaktiviert: Der mGuard löst nur Hostnamen auf, d. h. liefert zu Hostnamen die zugeordnete IP-Adresse.

Aktiviert: Wie bei „Deaktiviert“. Zusätzlich ist es möglich, für eine IP-Adresse die zugeordneten Hostnamen geliefert zu be­kommen.

Hostnamen

Die Tabelle kann beliebig viele Einträge aufnehmen.

Host

Hostname

TTL (hh:mm:ss)

Abkürzung für Time To Live. Standard: 3600 Sekunden (1:00:00)

Gibt an, wie lange abgerufene Zuordnungspaare im Cache des abrufenden Rechners gespeichert bleiben dürfen.

IP

Die IP-Adresse, die dem Hostnamen in dieser Tabellenzeile zugeordnet wird.

DynDNS

Zum Aufbau von VPN-Verbindungen muss mindestens die IP-Adresse eines der Partner bekannt sein, damit diese miteinander Kontakt aufnehmen können. Diese Bedingung ist nicht erfüllt, wenn beide Teilnehmer ihre IP-Adressen dynamisch von ihrem Internet Ser­vice Provider zugewiesen bekommen. In diesem Fall kann aber ein DynDNS-Service wie z. B. DynDNS.org oder DNS4BIZ.com helfen. Bei einem DynDNS-Service wird die je­weils gültige IP-Adresse unter einem festen Namen registriert.

Wenn Sie für einen vom mGuard unterstützten DynDNS-Service registriert sind, können Sie in diesem Dialogfeld die entsprechenden Angaben machen.

Den mGuard bei einem DynDNS-Ser­ver anmelden

Aktivieren Sie die Funktion, wenn Sie beim DynDNS-Anbieter entsprechend registriert sind und der mGuard den Service be­nutzen soll. Dann meldet der mGuard die aktuelle IP-Adresse, die gerade dem eigenen Internet-Anschluss vom Internet Ser­vice Provider zugewiesen ist, an den DynDNS-Service.

Status der DynDNS-Registrierung

Status der DynDNS-Registrierung

Statusnachricht

Statusnachricht

Abfrageintervall

Standard: 420 (Sekunden).

Immer, wenn sich die IP-Adresse des eigenen Internet-An­schlusses ändert, informiert der mGuard den DynDNS-Ser­vice über die neue IP-Adresse. Zusätzlich kann diese Mel­dung in dem hier festgelegten Zeitintervall erfolgen. Bei einigen DynDNS-Anbietern wie z. B. DynDNS.org hat diese Einstellung keine Wirkung, da dort ein zu häufiges Melden zur Löschung des Accounts führen kann.

DynDNS-Anbieter

Die zur Auswahl gestellten Anbieter unterstützen das Proto­koll, das auch der mGuard unterstützt. Wählen Sie den Namen des Anbieters, bei dem Sie registriert sind, z. B. DynDNS.org, TinyDynDNS, DNS4BIZ.

Wenn Ihr Anbieter nicht in der Liste enthalten ist, wählen Sie DynDNS-compatible und tragen Sie Server und Port für die­sen Anbieter ein.

DynDNS-Server

Nur sichtbar, wenn unter „DynDNS-Anbieter“ DynDNS-com­patible eingestellt ist.

Name des Servers des DynDNS-Anbieters.

DynDNS-Port

Nur sichtbar, wenn unter „DynDNS-Anbieter“ DynDNS-com­patible eingestellt ist.

Nummer des Ports des DynDNS-Anbieters.

DynDNS-
Benutzerkennung

Geben Sie hier die Benutzerkennung ein, die Ihnen vom DynDNS-Anbieter zugeteilt worden ist.

DynDNS-Passwort

Geben Sie hier das Passwort ein, das Ihnen vom DynDNS-An­bieter zugeteilt worden ist.

DynDNS-Hostname

Der für diesen mGuard gewählte Hostname beim DynDNS-Service – sofern Sie einen DynDNS-Dienst benutzen und oben die entsprechenden Angaben gemacht haben.

Unter diesem Hostnamen ist dann der mGuard erreichbar.

In den Werkseinstellungen ist der DHCP-Server des mGuard-Geräts standardmäßig für das LAN-Interface (Port XF2-4 bzw. XF2-5) aktiviert (Internes DHCP).

Das heißt, dass über das LAN-Interface angeschlossene Netzwerk-Clients ihre Netz­werkkonfiguration automatisch vom mGuard-Gerät erhalten, wenn sie ebenfalls DHCP aktiviert haben.

Die Menüpunkte Externes DHCP und DMZ DHCP gehören nicht zum Funktionsumfang der Serie FL MGUARD 2000.

Der DHCP-Server funktioniert auch im Stealth-Modus.

Im Multi-Stealth-Mode kann der externe DHCP-Server des mGuards nicht genutzt wer­den, wenn eine VLAN ID als Management IP zugewiesen ist.

IP-Konfiguration bei Windows-Rechnern: Wenn Sie den DHCP-Server des mGuards starten, können Sie die lokal angeschlossenen Rechner so konfigurieren, dass diese ihre IP-Konfiguration automatisch per DHCP vom mGuard zugeteilt bekommen.

Siehe hierzu auch das Kapitel „IP-Einstellung per DHCP beziehen (Windows)“ im Benut­zerhandbuch UM DE HW FL MGUARD 2000/4000 „Installation und Inbetriebnahme“ im Phoenix Contact Web Shop z. B. unter phoenixcontact.com/product/1357828).

Der Menüpunkt Externes DHCP gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000.

Die Einstellungen für Internes DHCP und Externes DHCP sind prinzipiell identisch und werden im Folgenden nicht getrennt beschrieben.

Modus

DHCP-Modus

Deaktiviert / Server / Relay

Setzen Sie diesen Schalter auf Server (Werkseinstellungen: Internes DHCP), wenn der mGuard als eigenständiger DHCP-Server arbeiten soll. Dann werden unten auf der Registerkarte entsprechende Einstellmöglichkeiten eingeblendet (siehe „DHCP-Modus: Server“ ).

Setzen Sie ihn auf Relay, wenn der mGuard DHCP-Anfragen an einen anderen DHCP-Server weiterleiten soll. Dann wer­den unten auf der Registerkarte entsprechende Einstellmög­lichkeiten eingeblendet (siehe „DHCP-Modus: Relay“ ).

Wenn der Schalter auf Deaktiviert steht, beantwortet der mGuard keine DHCP-Anfragen.

DHCP-Modus: Server

Ist als DHCP-Modus Server ausgewählt, werden unten auf der Seite entsprechende Ein­stellmöglichkeiten wie folgt eingeblendet.

DHCP-Server-Optionen

Dynamischen IP-Adresspool aktivieren

Bei aktivierter Funktion wird der durch DHCP-Bereichsanfang bzw. DHCP-Bereichsende angegebenen IP-Adresspool ver­wendet (siehe unten).

Deaktivieren Sie die Funktion, wenn nur statische Zuweisun­gen anhand der MAC-Adressen vorgenommen werden sollen (siehe unten).

DHCP-Lease-Dauer

Zeit in Sekunden, für die eine dem Rechner zugeteilte Netz­werkkonfiguration gültig ist. Kurz vor Ablauf dieser Zeit sollte ein Client seinen Anspruch auf die ihm zugeteilte Konfigura­tion erneuern. Ansonsten wird diese u. U. anderen Rechnern zugeteilt.

DHCP-Bereichsanfang

(Bei aktiviertem dynamischen IP-Adresspool)

Anfang Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

DHCP-Bereichsende

(Bei aktiviertem dynamischen IP-Adresspool)

Ende des Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

Lokale Netzmaske

Legt die Netzmaske der Rechner fest. Voreingestellt ist: 255.255.255.0

Broadcast-Adresse

Legt die Broadcast-Adresse der Rechner fest.

Standard-Gateway

Legt fest, welche IP-Adresse beim Rechner als Standard-Gateway benutzt wird. In der Regel ist das die interne IP-Ad­resse des mGuards.

DNS-Server

Adresse des Servers, bei dem Rechner über den Domain Name Service (DNS) Hostnamen in IP-Adressen auflösen las­sen können.

Wenn der DNS-Dienst des mGuards genutzt werden soll, dann die interne IP-Adresse des mGuards angeben.

WINS-Server

Adresse des Servers, bei dem Rechner über den Windows In­ternet Naming Service (WINS) Hostnamen in Adressen auflö­sen können.

Statische Zuordnung

MAC-Adresse des Cli­ents

Die MAC-Adresse Ihres Rechners finden Sie wie folgt her­aus:

Windows:

•Starten Sie ipconfig /all in einer Eingabeaufforderung. Die MAC-Adresse wird als „Physikalische Adresse“ ange­zeigt.

Linux:

•Rufen Sie in einer Shell /sbin/ifconfig oder ip link show auf.

Bei den Angaben haben Sie folgende Möglichkeiten:

–MAC-Adresse des Clients/Rechners (ohne Leerzeichen oder Bindestriche).

IP-Adresse des Clients

Die statische IP-Adresse des Rechners, die der MAC-Ad­resse zugewiesen werden soll

.

Aktuelle Leases

Die aktuell vom DHCP-Server vergebenen Leases werden mit MAC-Adresse, IP-Adresse und Ablaufdatum (Timeout) angezeigt.

DHCP-Modus: Relay

Ist als DHCP-Modus Relay ausgewählt, werden unten auf der Seite entsprechende Ein­stellmöglichkeiten wie folgt eingeblendet.

DHCP-Relay-Optionen

DHCP-Server, zu denen weitergeleitet werden soll

Eine Liste von einem oder mehreren DHCP-Servern, an wel­che DHCP-Anfragen weitergeleitet werden sollen.

Füge Relay-Agent-Information (Option 82) an

Beim Weiterleiten können zusätzliche Informationen nach RFC 3046 für die DHCP-Server angefügt werden, an welche weitergeleitet wird.

Der Menüpunkt DMZ DHCP gehört nicht zum Funktionsumfang der Serie FL MGUARD 2000.

Modus

Aktiviere DHCP-Server auf dem DMZ-Port

Aktiviert den DHCP-Server auf dem DMZ-Interface.

Bei deaktivierter Funktion beantwortet der mGuard keine DHCP-Anfragen auf dem DMZ-Interface.

DHCP-Server-Optionen

Dynamischen IP-Adresspool aktivieren

Bei aktivierter Funktion wird der durch DHCP-Bereichsanfang bzw. DHCP-Bereichsende angegebenen IP-Adresspool ver­wendet (siehe unten).

Deaktivieren Sie die Funktion, wenn nur statische Zuweisun­gen anhand der MAC-Adressen vorgenommen werden sollen (siehe unten).

DHCP-Lease-Dauer

Zeit in Sekunden, für die eine dem Rechner zugeteilte Netz­werkkonfiguration gültig ist. Kurz vor Ablauf dieser Zeit sollte ein Client seinen Anspruch auf die ihm zugeteilte Konfigura­tion erneuern. Ansonsten wird diese u. U. anderen Rechnern zugeteilt.

DHCP-Bereichsanfang

(Bei aktiviertem dynamischen IP-Adresspool)

Anfang Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

DHCP-Bereichsende

(Bei aktiviertem dynamischen IP-Adresspool)

Ende des Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

Lokale Netzmaske

Legt die Netzmaske der Rechner fest. Voreingestellt ist: 255.255.255.0

Broadcast-Adresse

Legt die Broadcast-Adresse der Rechner fest.

Standard-Gateway

Legt fest, welche IP-Adresse beim Rechner als Standard-Gateway benutzt wird. In der Regel ist das die interne IP-Ad­resse des mGuards.

DNS-Server

Adresse des Servers, bei dem Rechner über den Domain Name Service (DNS) Hostnamen in IP-Adressen auflösen las­sen können.

Wenn der DNS-Dienst des mGuards genutzt werden soll, dann die interne IP-Adresse des mGuards angeben.

WINS-Server

Adresse des Servers, bei dem Rechner über den Windows In­ternet Naming Service (WINS) Hostnamen in Adressen auflö­sen können.

Statische Zuordnung

MAC-Adresse des Cli­ents

Die MAC-Adresse Ihres Rechners finden Sie wie folgt her­aus:

Windows :

•Starten Sie ipconfig /all in einer Eingabeaufforderung. Die MAC-Adresse wird als „Physikalische Adresse“ ange­zeigt.

Linux:

•Rufen Sie in einer Shell /sbin/ifconfig oder ip link show auf.

Bei den Angaben haben Sie folgende Möglichkeiten:

–MAC-Adresse des Clients/Rechners (ohne Leerzeichen oder Bindestriche).

–IP-Adresse des Clients

IP-Adresse des Clients

Die statische IP-Adresse des Rechners, die der MAC-Adresse zugewiesen werden soll

.

Aktuelle Leases

Die aktuell vom DHCP-Server vergebenen Leases werden mit MAC-Adresse, IP-Adresse und Ablaufdatum (Timeout) angezeigt.

HTTP(S) Proxy-Einstellun­gen

Proxy für HTTP und HTTPS benutzen

Bei aktivierter Funktion gehen Verbindungen, bei denen das Protokoll HTTP oder HTTPS verwendet wird, über einen Proxy-Server, dessen Adresse und Port ebenfalls festzulegen sind.

Verbindungen, die mittels der Funktion VPN-TCP-Kapselung gekapselt übertragen werden, werden ebenfalls über den Proxy-Server geleitet (siehe „TCP-Kapselung“ auf Seite 229).

HTTP(S)-Proxy-Server

Hostname oder IP-Adresse des Proxy-Servers

Port

Nummer des zu verwendenden Ports, z. B. 3128

Proxy-Authentifizierung

Login

Benutzerkennung (Login) zur Anmeldung beim Proxy-Server

Passwort

Passwort zur Anmeldung beim Proxy-Server

Dieses Menü steht nur zur Verfügung, wenn sich der mGuard im Netzwerkmodus „Rou­ter“ befindet.

Aktivierung

OSPF aktivieren

Bei deaktivierter Funktion (Standard): OSPF ist auf dem Gerät deaktiviert.

Bei aktivierter Funktion: Das dynamische Routing über das OSPF-Protokoll ist auf dem Gerät aktiviert. Neue Routen kön­nen von benachbarten OSPF-Routern gelernt und weiterver­breitet werden.

OSPF-Hostname

Wenn an dieser Stelle ein OSPF-Hostname vergeben wird, wird dieser den teilnehmenden OSPF-Routern anstelle des globalen Hostnamens mitgeteilt.

Router-ID

Die Router-ID im Format einer IP-Adresse muss innerhalb des autonomen Systems eindeutig sein. Sie kann ansonsten frei gewählt werden und entspricht üblicherweise der IP-Ad­resse der WAN- oder LAN-Schnittstelle des mGuards.

OSPF-Areas

Über OSPF-Areas wird das autonome System segmentiert. Innerhalb einer Area werden die Routen zwischen OSPF-Routern ausgetauscht. Der mGuard kann Mitglied in einer oder mehreren OSPF-Areas sein. Eine Weiterverbreitung zwischen benachbarten Areas über die sogenannte „Transition Area“ ist ebenfalls möglich (siehe unten).

Name

Der Name ist frei wählbar (Standard: ID). Die eigentliche Iden­tifizierung eines OSPF-Routers erfolgt anhand seiner ID.

ID

Die ID ist prinzipiell frei wählbar. Wird einer OSPF-Area die ID 0 zugewiesen, wird sie damit zur „Transition Area“. Über diese werden Routing-Informationen zwischen zwei benach­barten Areas ausgetauscht und in diesen weiterverbreitet.

Stub-Area

Wenn es sich bei der OSPF-Area um eine Stub-Area handelt, aktivieren Sie die Funktion.

Authentifizierung

Kein / Simple / Digest

Die Authentifizierung des mGuards innerhalb der OSPF-Area kann über die Methoden „Simple“ oder „Digest“ erfolgen. Die entsprechenden Passwörter bzw. Digest-Keys werden jeweils für die zugeordneten Interfaces vergeben (siehe „Zusätzliche Interface- Einstellungen“ ).

Zusätzliche Interface- Ein­stellungen

Interface

Intern / Extern / DMZ

Wählt das Interface aus, für das die Einstellungen gelten. Werden an dieser Stelle keine Einstellungen vorgenommen, gelten die Standard-Einstellungen (d. h. OSPF ist für das In­terface aktiv und die Passwörter sind nicht vergeben).

Passives Interface

Standard: deaktiviert

Bei deaktivierter Funktion werden OSPF-Routen durch das In­terface gelernt und weiterverbreitet.

Bei aktivierter Funktion werden Routen weder gelernt noch weiterverbreitet.

Authentifizierung 

Kein / Digest

Ist Digest ausgewählt, wird an dem ausgewählten Interface – unabhängig von der einer OSPF-Area bereits zugewiesenen Authentifizierungsmethode – immer mit „Digest“ authentifi­ziert.

Die Authentifizierungsmethode (Kein / Simple / Digest), die bereits einer OSPF-Area zugewiesen wurde, wird dabei über­gangen und nicht verwendet.

Passwort Simple-Authentifizierung

Passwort zur Authentifizierung des OSPF-Routers (bei Au­thentifizierungsmethode „Simple“)

Digest-Key

Digest-Key zur Authentifizierung des OSPF-Routers (bei Au­thentifizierungsmethode „Digest“)

Digest-Key-ID 

Digest-Key-ID zur Authentifizierung des OSPF-Routers (bei Authentifizierungsmethode „Digest“)

(1–255)

Routen-Weiterverbreitung

Statisch in der Routingtabelle des Kernels eingetragene Routen können ebenfalls über OSPF weiterverbreitet werden. Es können Regeln für lokal verbundene und über Gate­way erreichbare Netze angelegt werden.

Die Netze, deren Routen über OSPF weiterverbreitet werden sollen, können über die   „Distributions-Einstellungen“   in den sogenannten „Access-Listen“ festgelegt werden.

Typ

Lokal verbundene Netze / Über Gateway erreichbare Netze

Lokal verbundene Netze: Alle lokalen Netze werden per OSPF weiterverbreitet, wenn OSPF aktiviert ist. Eine Ein­schränkung der Weiterverbreitung kann über Access-Listen erfolgen.

Über Gateway erreichbare Netze: Alle externen Netze wer­den per OSPF weiterverbreitet. Zu den externen Netzen ge­hören z. B. statische sowie IPsec- und OpenVPN-Remote-Netze. Eine Einschränkung der Weiterverbreitung kann über Access-Listen erfolgen.

Metrik

Metrik, mit der die Routen weiterverbreitet werden. Numeri­sches Maß für die Güte einer Verbindung bei Verwendung einer bestimmten Route (abhängig von Bandbreite, Hop-An­zahl, Kosten und MTU).

Access-Liste

Verbreitet die Routen entsprechend der ausgewählten Ac­cess-Liste weiter (siehe   „Distributions-Einstellungen“   ). Ist Kein ausgewählt, werden alle Routen des ausgewählten Typs weiterverbreitet.

Dynamische Routen (über OSPF gelernt)

Der Status aller über OSPF gelernten Routen wird angezeigt.

Remote-Netz

Dynamisch gelerntes Remote-Netz.

Gateway 

Gateway zum Erreichen des Remote-Netzes.

Metrik

Die Metrik der gelernten Route.

Ist eine Regel für einen der beiden Typen „Lokal verbundene Netze“ und „Über Gateway erreichbare Netze“ ausgewählt, werden standardmäßig (Access-Liste = Kein) alle ent­sprechenden Routen über OSPF weiterverbreitet, wenn OSPF aktiviert ist.

Einstellungen

Name

Der Name muss eindeutig sein, darf also nicht doppelt verge­ben werden.

Zuordnungen

Zulassen/Ablehnen

Listet die Access-Listen-Regeln auf. Diese gelten für nicht dy­namisch über OSPF verbreitete Routen.

Zulassen (Standard) bedeutet, die Route zu dem eingetrage­nen Netzwerk wird über OSPF weiterverbreitet.

Ablehnen bedeutet, die Route zum eingetragenen Netzwerk wird nicht über OSPF weiterverbreitet.

Netzwerk

Netzwerk, dessen Weiterverbreitung per Regel zugelassen oder abgelehnt wird.