Ethernet: Intern: LAN Extern: WAN

Serielle Schnitt­stelle

Eingebau­tes Modem

Serielle Konsole über USB¹

FL MGUARD RS4000/RS2000

ja

ja

nein

nein

FL MGUARD RS4004

LAN: 4
WAN: 1
DMZ: 1

ja

nein

nein

FL MGUARD RS2005

LAN: 5
WAN: 1

ja

nein

nein

TC MGUARD RS4000 3G, TC MGUARD RS4000 4G

LAN: 4
WAN: 1
DMZ: 1

ja

ja

nein

TC MGUARD RS2000 3G, TC MGUARD RS2000 4G

LAN: 4
WAN: nein
DMZ: nein

ja

ja

nein

FL MGUARD CENTERPORT

LAN: 1
WAN: 1
DMZ: 1

ja

nein

nein

FL MGUARD SMART2

ja

nein

nein

ja

FL MGUARD GT/GT, FL MGUARD RS, FL MGUARD PCI 533/266, FL MGUARD BLADE, FL MGUARD DELTA, mGuard centerport (Innominate), mGuard delta (Innominate)

ja

ja

nein

nein

FL MGUARD PCI(E)4000 

ja

nein

nein

nein

FL MGUARD RS 
(ISDN/analog)

ja

ja

ja

nein

FL MGUARD SMART 533/266

ja

nein

nein

nein

¹Siehe „Serielle Konsole über USB“ auf Seite 202.

Werkseitige Voreinstellung bei TC MGUARD RS4000/RS2000 4G, TC MGUARD RS4000/RS2000 3G, FL MGUARD RS4004/RS2005, FL MGUARD GT/GT, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD BLADE-Controller, mGuard delta (Innominate)

Wird der mGuard im Router-Modus betrieben, muss er bei lokal angeschlossenen Rech­nern als Standard-Gateway festgelegt sein.

Das heißt, dass bei diesen Rechnern die IP-Adresse des LAN-Ports des mGuards als Ad­resse des Standard-Gateway anzugeben ist.

Wenn der mGuard im Router-Modus betrieben wird und die Verbindung zum Internet her­stellt, dann sollte NAT aktiviert werden (siehe „Netzwerk >> NAT“ auf Seite 210).

Nur dann erhalten die Rechner im angeschlossenen lokalen Netz über den mGuard Zu­griff auf das Internet. Ist NAT nicht aktiviert, können eventuell nur VPN-Verbindungen ge­nutzt werden.

Wird der mGuard im PPPoE-Modus betrieben, muss bei lokal angeschlossenen Rech­nern der mGuard als Standard-Gateway festgelegt sein.

Das heißt, dass bei diesen Rechnern die IP-Adresse des LAN-Ports des mGuards als Ad­resse des Standard-Gateway anzugeben ist.

Arbeitet der mGuard im PPPoE-Modus, muss NAT aktiviert werden, um Zugriff auf das Internet zu erhalten.

Ist NAT nicht aktiviert, können eventuell nur VPN-Verbindungen genutzt werden.

Wird der mGuard im PPTP-Modus betrieben, muss bei lokal angeschlossenen Rechnern der mGuard als Standard-Gateway festgelegt sein.

Dass heißt, dass bei diesen Rechnern die IP-Adresse des LAN-Ports des mGuards als Standard-Gateway anzugeben ist.

Wird der mGuard im PPTP-Modus betrieben, sollte NAT aktiviert werden, um aus dem lo­kalen Netz heraus Zugriff auf das Internet zu erhalten (siehe „Netzwerk >> NAT“ auf Seite 210).

Ist NAT nicht aktiviert, können eventuell nur VPN-Verbindungen genutzt werden.

Nur bei FL MGUARD RS4000/RS2000, TC MGUARD RS4000/RS2000 3G, TC MGUARD RS4000/RS2000 4G, FL MGUARD RS4004/RS2005, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD RS, FL MGUARD BLADE, mGuard delta (Innominate), FL MGUARD DELTA

Wenn Sie die Adresse des mGuards ändern (z. B. durch Wechsel des Netzwerk-Modus von Stealth auf Router), dann ist das Gerät nur noch unter der neuen Adresse zu errei­chen. Erfolgte die Änderung der Konfiguration über den LAN-Port, so erhalten Sie eine Rückmeldung über die neue Adresse, bevor die Änderung aktiv wird. Bei Konfigurations­änderungen über den WAN-Port erhalten Sie keine Rückmeldung.

Wenn Sie den Modus auf Router oder PPPoE oder PPTP stellen und dann die IP-Adresse des LAN-Ports und/oder die lokale Netzmaske ändern, achten Sie unbedingt darauf, dass Sie korrekte Werte angeben. Sonst ist der mGuard unter Umständen nicht mehr er­reichbar.

Für die weitere Konfiguration des Netzwerk-Modus Eingebautes Mobilfunkmodem / Ein­gebautes Modem / Modem  siehe „Ausgehender Ruf“ auf Seite 185.

Nur bei FL MGUARD RS mit eingebautem Modem oder ISDN-Terminaladapter

Nur bei TC MGUARD RS4000/RS2000 3G und TC MGUARD RS4000/RS2000 4G.

Werkseitige Voreinstellung bei FL MGUARD RS4000/RS2000, FL MGUARD RS, FL MGUARD SMART2, FL MGUARD PCI(E)4000, FL MGUARD PCI(E)4000, FL MGUARD PCI 533/266, FL MGUARD DELTA

Im Single-Stealth-Modus muss eine auf dem Rechner installierte Firewall ICMP-Echo-Requests (Ping) zulassen, wenn der mGuard Dienste wie VPN, DNS, NTP etc. bereitstel­len soll.

Im Stealth-Modus hat der mGuard die interne IP-Adresse 1.1.1.1, welche vom Rechner erreichbar ist, wenn das auf dem Rechner konfigurierte Standard-Gateway erreichbar ist.

In den Stealth-Konfigurationen „Automatisch“ und „Statisch“ ist der Aufbau einer vom internen Client ausgehenden VPN-Verbindung durch den mGuard hindurch nicht mög­lich.

Für die Nutzung bestimmter Funktionen (z. B. automatische Updates, Lizenzaktualisie­rungen oder Aufbau von VPN-Verbindungen) ist es erforderlich, dass der mGuard auch im Stealth-Modus eigenen Anfragen an externe Server stellt.

Diese Anfragen sind nur möglich, wenn der lokal angeschlossenen Rechner Ping-Anfra­gen zulässt. Konfigurieren Sie dessen Sicherheitseinstellungen entsprechend.

Netzwerk-Status

Externe IP-Adresse

Nur Anzeige: Die Adressen, unter denen der mGuard von Ge­räten des externen Netzes aus erreichbar ist. Sie bilden die Schnittstelle zu anderen Teilen des LAN oder zum Internet. Findet hier der Übergang zum Internet statt, werden die IP-Ad­ressen normalerweise vom Internet Service Provider (ISP) vorgegeben. Wird dem mGuard eine IP-Adresse dynamisch zugeteilt, können Sie hier die gerade gültige IP-Adresse nach­schlagen.

Im Stealth-Modus übernimmt der mGuard die Adresse des lokal angeschlossenen Rechners als seine externe IP.

Sekundäre externe IP-Adresse

(Nur wenn das sekundäre ex­terne Interface aktiviert ist)

Nur Anzeige: Die Adressen, unter denen der mGuard von Ge­räten des externen Netzes aus über das sekundäre externe Interface erreichbar ist.

Aktive Standard-Route über

Nur Anzeige: Hier wird die IP-Adresse angezeigt, über die der mGuard versucht, ihm unbekannte Netze zu erreichen. Wurde keine Standard-Route festgelegt, bleibt das Feld leer.

Benutzte DNS-Server

Nur Anzeige: Hier wird der Name der DNS-Server angezeigt, die vom mGuard zur Namensauflösung benutzt werden. Diese Information kann nützlich sein, wenn der mGuard z. B. die DNS-Server verwendet, welche ihm vom Internet Service Provider vorgegeben werden.

Verbindungsstatus des Modems zum Datennetz

(Nur bei Geräten mit internem Modem)

Anzeige des Status des internen Modems (Mobilfunkmodem vom TC MGUARD RS4000/RS2000 3G / TC MGUARD RS4000/RS2000 4G und des internen Analog-Modems beim FL MGUARD RS).

Netzwerk-Modus

Netzwerk-Modus

Router / Stealth

Der mGuard muss auf den Netzwerk-Modus gestellt werden, der seiner Einbindung in das Netzwerk entspricht

.

Siehe auch:

„Überblick: Netzwerk-Modus „Router““ auf Seite 138 und „Überblick: Netzwerk-Modus „Stealth““ auf Seite 141.

Abhängig von der Auswahl des Netzwerkmodus und je nach mGuard-Gerät stehen unter­schiedliche Einstellungsmöglichkeiten auf der Web-Oberfläche zur Verfügung:

Router-Modus

(Nur wenn Netzwerk-Modus „Router“ ausgewählt wurde)

Statisch / DHCP / PPPoE / PPTP / Modem¹ / Eingebautes Modem¹ / Eingebautes Mobilfunkmodem¹

Für eine umfassende Beschreibung siehe:

–„Router-Modus: Statisch“ auf Seite 139

–„Router-Modus: DHCP“ auf Seite 139

–„Router-Modus: PPPoE“ auf Seite 139 und „PPPoE“ auf Seite 150

–„Router-Modus: PPTP“ auf Seite 139 und „PPTP“ auf Seite 151

–„Router-Modus: Modem“ auf Seite 139 und „Ausgehen­der Ruf“ auf Seite 185

Stealth-Konfiguration

(Nur wenn Netzwerk-Modus „Stealth“ ausgewählt wurde)

Automatisch / Statisch / Mehrere Clients

Automatisch

Der mGuard analysiert den Netzwerkverkehr, der über ihn läuft, und konfiguriert dementsprechend seine Netzwerkan­bindung eigenständig. Er arbeitet transparent.

Statisch

Wenn der mGuard keinen über ihn laufenden Netzwerkver­kehr analysieren kann, z. B. weil zum lokal angeschlossenen Rechner nur Daten ein-, aber nicht ausgehen, dann muss die Stealth-Konfiguration auf Statisch gesetzt werden. In diesem Fall stellt die Seite unten weitere Eingabefelder zur statischen Stealth-Konfiguration zur Verfügung.

Mehrere Clients

(Standard) Wie bei Automatisch, es können jedoch mehr als nur ein Rechner am LAN-Port (gesicherter Port) des mGuards angeschlossen sein und somit mehrere IP-Adressen am LAN-Port (gesicherter Port) des mGuards verwendet werden.

Automatische Konfi­guration: Ignoriere NetBIOS über TCP auf TCP-Port 139

(Nur bei Stealth-Konfiguration Automatisch)

Hat ein Windows-Rechner mehr als eine Netzwerkkarte instal­liert, kann es vorkommen, dass er in den von ihm ausgehen­den Datenpaketen abwechselnd unterschiedliche IP-Adres­sen als Absenderadresse benutzt. Das betrifft Netzwerkpakete, die der Rechner an den TCP-Port 139 (Net­BIOS) sendet. Da der mGuard aus der Absenderadresse die Adresse des Rechners ermittelt (und damit die Adresse, unter der der mGuard erreichbar ist), müsste der mGuard entspre­chend hin- und herschalten, was den Betrieb erheblich stören würde. Um das zu verhindern, aktivieren Sie die Funktion, so­fern Sie den mGuard an einem Rechner angeschlossen ha­ben, der diese Eigenarten aufweist.

¹Modem/Eingebautes Modem/Eingebautes Mobilfunkmodem steht nicht bei allen mGuard-Modellen zur Verfügung (siehe „Netzwerk >> Interfaces“ auf Seite 137)

Externe Netzwerke

Die Adressen, unter denen der mGuard von externen Geräten erreichbar ist, die sich hinter dem WAN-Port befinden. Findet hier der Übergang zum Internet statt, wird die externe IP-Adresse des mGuards vom Internet Service Provider (ISP) vorgegeben.

IP-Adresse

IP-Adresse, unter welcher der mGuard über seinen WAN-Port erreichbar sein soll.

Netzmaske

Die Netzmaske des am WAN-Port angeschlossenen Netzes.

Verwende VLAN

Wenn die IP-Adresse innerhalb eines VLANs liegen soll, akti­vieren Sie die Funktion.

VLAN-ID

–Eine VLAN-ID zwischen 1 und 4095.

–Eine Erläuterung des Begriffes „VLAN“ befindet sich im Glossar auf 473.

–Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht werden.

OSPF-Area

(Nur wenn OSPF aktiviert ist)

Verknüpft die statischen Adressen/Routen der internen Netz­werkschnittstelle mit einer OSPF-Area (siehe „Netzwerk >> Dynamisches Routing“ auf Seite 233).

Zusätzliche externe Routen

Zusätzlich zur Standard-Route über das unten angegebene Standard-Gateway können Sie weitere externe Routen festlegen.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Siehe auch „Netzwerk-Beispielskizze“ auf Seite 31.

Standard-Gateway

IP-Adresse des Stan­dard-Gateways

Hier kann die IP-Adresse eines Gerätes im lokalen Netz (an­geschlossen am LAN-Port) oder die IP-Adresse eines Gerä­tes im externen Netz (angeschlossen am WAN-Port) angege­ben werden.

Wenn der mGuard den Übergang zum Internet herstellt, wird diese IP-Adresse vom Internet Service Provider (ISP) vorge­geben.

Wird der mGuard innerhalb des LANs eingesetzt, wird die IP-Adresse des Standard-Gateways vom Netzwerk-Administra­tor vorgegeben.

Interne Netzwerke

IP-Adresse

Interne IP ist die IP-Adresse, unter der der mGuard von Gerä­ten des lokal angeschlossenen Netzes erreichbar ist.

Im Router-/PPPoE-/PPTP-/Modem-Modus ist werkseitig voreingestellt:

–IP-Adresse:    192.168.1.1

–Netzmaske:    255.255.255.0

Sie können weitere Adressen festlegen, unter denen der mGuard von Geräten des lokal angeschlossenen Netzes an­gesprochen werden kann. Das ist zum Beispiel dann hilfreich, wenn das lokal angeschlossene Netz in Subnetze unterteilt wird. Dann können mehrere Geräte aus verschiedenen Sub­netzen den mGuard unter unterschiedlichen Adressen errei­chen.

IP-Adresse

IP-Adresse, unter welcher der mGuard über seinen LAN-Port erreichbar sein soll.

Netzmaske

Die Netzmaske des am LAN-Port angeschlossenen Netzes.

Verwende VLAN

Wenn die IP-Adresse innerhalb eines VLANs liegen soll, akti­vieren Sie die Funktion.

VLAN-ID

–Eine VLAN-ID zwischen 1 und 4095.

–Eine Erläuterung des Begriffes „VLAN“ befindet sich im Glossar auf 473.

–Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht werden.

OSPF-Area

(Nur wenn OSPF aktiviert ist)

Verknüpft die statischen Adressen/Routen der internen Netz­werkschnittstelle mit einer OSPF-Area (siehe „Netzwerk >> Dynamisches Routing“ auf Seite 233).

Zusätzliche Interne Routen

Wenn am lokal angeschlossen Netz weitere Subnetze angeschlossen sind, können Sie zusätzliche Routen definieren.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Siehe auch „Netzwerk-Beispielskizze“ auf Seite 31.

PPPoE

Für Zugriffe ins Internet gibt der Internet Service Provider (ISP) dem Benutzer eine Benut­zerkennung (Login) und ein Passwort. Diese werden abfragt, wenn Sie eine Verbindung ins Internet herstellen wollen.

PPPoE-Login

Benutzerkennung (Login), die der Internet Service Provider (ISP) anzugeben fordert, wenn Sie eine Verbindung ins Inter­net herstellen wollen.

PPPoE-Passwort

Passwort, das der Internet Service Provider anzugeben for­dert, wenn Sie eine Verbindung ins Internet herstellen wollen.

PPPoE-Servicenamen anfordern

Bei aktivierter Funktion fordert der PPPoE-Client des mGuards den unten genannten Servicenamen beim PPPoE-Ser­ver an. Ansonsten wird der PPPoE-Servicename nicht ver­wendet.

PPPoE-Servicename

PPPoE-Servicename

Automatisches Reconnect

Bei aktivierter Funktion müssen Sie im nachfolgenden Feld Reconnect täglich um die Uhrzeit angeben. Dieses Feature dient dazu, das von vielen Internet Providern sowieso erzwun­gene Trennen und Wiederverbinden mit dem Internet in eine Zeit zu legen, wenn es den Geschäftsbetrieb nicht stört.

Bei Einschalten dieser Funktion greift diese nur dann, wenn die Synchronisation mit einem Zeit-Server erfolgt ist (siehe „Verwaltung >> Systemeinstellungen“ auf Seite 47, „Zeit und Datum“ auf Seite 49).

Reconnect täglich um (Stunde)

Angabe der Uhrzeit (Stunde), falls Automatisches Reconnect (s. o.) stattfindet.

Reconnect täglich um (Minute)

Angabe der Uhrzeit (Minute), falls Automatisches Reconnect (s. o.) stattfindet.

PPTP

Für Zugriffe ins Internet gibt der Internet Service Provider (ISP) dem Benutzer eine Benut­zerkennung (Login) und ein Passwort. Diese werden abgefragt, wenn Sie eine Verbin­dung ins Internet herstellen wollen.

PPTP-Login

Benutzerkennung (Login), die der Internet Service Provider anzugeben fordert, wenn Sie eine Verbindung ins Internet her­stellen wollen.

PPTP-Passwort

Passwort, das der Internet Service Provider anzugeben for­dert, wenn Sie eine Verbindung ins Internet herstellen wollen.

Lokaler IP-Modus

Statisch / Über DHCP

Über DHCP

Werden die Adressdaten für den Zugang zum PPTP-Server vom Internet Service Provider per DHCP geliefert, wählen Sie diese Option. Dann ist kein Eintrag unter Lokale IP-Adresse zu machen.

Statisch (folgendes Feld)

Werden die Adressdaten für den Zugang zum PPTP-Server nicht per DHCP vom Internet Service Provider geliefert, dann muss die lokale IP-Adresse angegeben werden.

Lokale IP-Adresse

IP-Adresse, unter der der mGuard vom PPTP-Server aus zu erreichen ist.

Modem IP-Adresse

IP-Adresse des PPTP-Servers des Internet Service Providers.

DMZ-Netzwerke

(Nur bei TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4004, FL MGUARD CENTERPORT)

IP-Adressen

IP-Adresse, unter der der mGuard von Geräten des am DMZ-Port angeschlossenen Netzes erreichbar ist.

Im Netzwerk-Modus „Router“ ist für jede neu hinzugefügte Tabellenzeile werkseitig voreingestellt:

–IP-Adresse:    192.168.3.1

–Netzmaske:    255.255.255.0

Sie können weitere Adressen festlegen, unter der der mGuard von Geräten am DMZ-Port angeschlossenen Netzen ange­sprochen werden kann. Das ist zum Beispiel dann hilfreich, wenn das am DMZ-Port angeschlossenen Netze in Subnetze unterteilt wird. Dann können mehrere Geräte aus verschiede­nen Subnetzen den mGuard unter unterschiedlichen Adres­sen erreichen.

IP-Adresse

IP-Adresse, unter welcher der mGuard über seinen DMZ-Port erreichbar sein soll.

Default: 192.168.3.1

Netzmaske

Die Netzmaske des am DMZ-Port angeschlossenen Netzes.

Default: 255.255.255.0

OSPF-Area

(Nur wenn OSPF aktiviert ist)

Verknüpft die statischen Adressen/Routen der DMZ- Netz­werkschnittstelle mit einer OSPF-Area (siehe „Netzwerk >> Dynamisches Routing“ auf Seite 233).

Zusätzliche DMZ-Routen

Wenn am DMZ weitere Subnetze angeschlossen sind, können Sie zusätzliche Routen definieren.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Default:192.168.3.0/24

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Siehe auch „Netzwerk-Beispielskizze“ auf Seite 31.

Default: 192.168.3.254

Stealth-Management

Hier können Sie weitere Management-IP-Adresse angeben, über die der mGuard admi­nistriert werden kann.

Wenn

–unter Stealth-Konfiguration die Option Mehrere Clients gewählt ist oder

–der Client ARP-Anfragen nicht beantwortet oder

–kein Client vorhanden ist,

dann ist der Fernzugang über HTTPS, SNMP und SSH nur über diese Adresse möglich.

IP-Adresse

Management-IP-Adresse, unter welcher der mGuard erreich­bar und administrierbar sein soll.

Die IP-Adresse „0.0.0.0“ deaktiviert die Management-IP-Ad­resse.

Ändern Sie zuerst die Management-IP-Adresse, bevor Sie zu­sätzliche Adressen angeben.

Netzmaske

Die Netzmaske zu obiger IP-Adresse.

VLAN verwenden

IP-Adresse und Netzmaske des VLAN-Ports.

Wenn die IP-Adresse innerhalb eines VLANs liegen soll, akti­vieren Sie die Funktion.

VLAN-ID

Diese Option ist nur gültig, wenn Sie die Option „Stealth-Kon­figuration“  auf „Mehrere Clients“ gesetzt haben.

–Eine VLAN-ID zwischen 1 und 4095.

–Eine Erläuterung finden Sie unter „VLAN“ auf Seite 473.

–Falls Sie Einträge aus der Liste löschen wollen: Der erste Eintrag kann nicht gelöscht werden.

Standard-Gateway

Das Standard-Gateway des Netzes, in dem sich der mGuard befindet.

Route folgende Netzwerke über Alternative Gateways

Statische Routen

In den Stealth-Modi „Automatisch“ und „Statisch“ übernimmt der mGuard das Standard-Gateway des Rechners, der an seinen LAN-Port angeschlossen ist. Dies gilt nicht, wenn eine Management IP-Adresse mit Standard-Gateway konfiguriert ist.

Für Datenpakete ins WAN, die der mGuard selber erzeugt, können alternative Routen festgelegt werden. Dazu gehören u. a. die Pakete folgender Datenverkehre:

–das Herunterladen von Zertifikats-Sperrlisten (CRL)

–das Herunterladen einer neuen Konfiguration

–die Kommunikation mit einem NTP-Server (zur Zeit-Synchronisation)

–das Versenden und Empfangen verschlüsselter Datenpakete von VPN-Verbindun­gen

–Anfragen an DNS-Server

–Log-Meldungen

–das Herunterladen von Firmware-Updates

–das Herunterladen von Konfigurationsprofilen von einem zentralen Server (sofern konfiguriert)

–SNMP-Traps

Soll diese Option genutzt werden, machen Sie nachfolgend die entsprechenden Anga­ben. Wird sie nicht genutzt, werden die betreffenden Datenpakete über das beim Client festgelegte Standard-Gateway geleitet.

Netzwerk

Das Netzwerk in CIDR-Schreibweise angeben (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Gateway

Das Gateway, über welches dieses Netzwerk erreicht werden kann.

Die hier festgelegten Routen gelten für Datenpakete, die der mGuard selber erzeugt, als unbedingte Routen. Diese Festle­gung hat Vorrang vor sonstigen Einstellungen (siehe auch „Netzwerk-Beispielskizze“ auf Seite 31).

Einstellungen Stealth-Modus (statisch)

(Nur bei Auswahl „statische“ Stealth-Konfiguration)

IP-Adresse des Clients

Die IP-Adresse des am LAN-Port angeschlossenen Rech­ners.

MAC-Adresse des Clients

Das ist die physikalische Adresse der Netzwerkkarte des lo­kalen Rechners, an dem der mGuard angeschlossen ist.

•Die MAC-Adresse ermitteln Sie wie folgt:

Auf der DOS-Ebene (Menü Start, Alle Programme, Zube­hör, Eingabeaufforderung) folgenden Befehl eingeben: ipconfig /all

Die Angabe der MAC-Adresse ist nicht unbedingt erforderlich. Denn der mGuard kann die MAC-Adresse automatisch vom Client erfragen. Hierfür muss die MAC-Adresse 0:0:0:0:0:0 eingestellt werden. Zu beachten ist, dass der mGuard aber erst dann Netzwerkpakete zum Client hindurchleiten kann, nachdem er die MAC-Adresse vom Client ermitteln konnte.

Ist im statischen Stealth-Modus weder eine Stealth Manage­ment IP-Adresse noch die MAC-Adresse des Clients konfigu­riert, werden DAD-ARP-Anfragen auf dem internen Interface versendet (siehe RFC 2131 „Dynamic Host Configuration Pro­tocol“, Abschnitt 4.4.1)

Sekundäres externes Inter­face

(Nicht bei TC MGUARD RS2000 3G, TC MGUARD RS2000 4G, FL MGUARD RS2005, FL MGUARD RS2000)

Über das sekundäre externe Interface kann permanent oder aushilfsweise Datenverkehr ins externe Netz (WAN) geführt werden.

Bei aktiviertem sekundärem externen Interface gilt Folgendes:

Im Netzwerk-Modus Stealth

Nur der vom mGuard erzeugte Datenverkehr wird dem Routing unterzogen, das für das sekundäre externe Interface festgelegt ist, nicht der Datenverkehr, der von einem lokal angeschlossenem Rechner ausgeht. Auch kann auf lokal angeschlossene Rechner nicht von entfernt zugegriffen werden, nur ein Fernzugriff auf den mGuard selber ist - bei ent­sprechender Konfiguration - möglich.

VPN-Datenverkehr kann - wie im Netzwerk-Modus Router - von und zu den lokal ange­schlossenen Rechnern fließen. Denn dieser wird vom mGuard verschlüsselt und gilt daher als vom mGuard erzeugt.

Im Netzwerk-Modus Router

Aller Datenverkehr, also der von und zu lokal angeschlossenen Rechnern und der, wel­cher vom mGuard erzeugt wird, kann über das sekundäre externe Interface ins externe Netz (WAN) geführt werden.

Netzwerk-Modus

Aus / Modem / Eingebautes Mobilfunkmodem

Aus

(Standard). Wählen Sie diese Einstellung, wenn die Betrieb­sumgebung des mGuards kein sekundäres externes Interface braucht. Dann können Sie die serielle Schnittstelle (oder das eingebaute Modem - falls vorhanden) für andere Zwecke nut­zen (siehe „Modem“ auf Seite 195).

Modem/Eingebautes Modem

Bei Auswahl einer dieser Optionen wird der Datenverkehr ins externe Netz (WAN) über das sekundäre externe Interface ge­führt, entweder permanent oder aushilfsweise.

Das sekundäre externe Interface wird über die serielle Schnitt­stelle des mGuards und ein daran angeschlossenes externes Modem gebildet.

Eingebautes Mobilfunkmodem

Die Firmware ab 5.2 unterstützt ein externes oder internes Modem als Rückfallebene für das externe Interface. Ab Ver­sion 8.0 schließt das auch das interne Mobilfunkmodem des TC MGUARD RS4000 3G ein.

Das Modem kann dauerhaft (permanent) als sekundäres ex­ternes Interface genutzt werden.

Es kann im Fall eines Netzwerk-Fehlers auch vorübergehend (aushilfsweise) als sekundäres externes Interface genutzt werden.

Es unterstützt dedizierte Routen und die DNS-Konfiguration.

Sekundäre externe Routen

(Nicht bei TC MGUARD RS2000 3G, TC MGUARD RS2000 4G, FL MGUARD RS2005, FL MGUARD RS2000)

Hinweise zu den Betriebs-Modi: Permanent / Aushilfsweise

Sowohl in der Betriebsart Permanent als auch in der Betriebsart Aushilfsweise muss dem mGuard für das sekundäre externe Interface das Modem zur Verfügung stehen, damit der mGuard über das am Modem angeschlossene Telefonnetz eine Verbindung zum WAN (Internet) herstellen kann.

Welche Datenpakete über das primäre externe Interface (Ethernet-Schnittstelle) und welche Datenpakete über das sekundäre externe Interface gehen, entscheiden die Routing-Einstellungen, die für diese beiden externen Interfaces in Kraft sind. Ein Daten­paket kann also grundsätzlich nur das Interface nehmen, dessen Routing-Einstellung für das vom Datenpaket angesteuerte Ziel passend ist.

Betriebs-Modus

Permanent / Aushilfsweise

Nach Auswahl des Netzwerk-Modus Modem, Eingebautes Modem oder Eingebautes Mobilfunkmodem für das sekun­däre externe Interface muss der Betriebs-Modus des sekun­dären externen Interface festgelegt werden (siehe „Beispiel zur Anwendung von Routing-Angaben:“ auf Seite 164).

Permanent

Datenpakete, deren Ziel den Routing-Einstellungen ent­spricht, die für das sekundäre externe Interface festgelegt sind, werden immer über dieses externe Interface geleitet. Das sekundäre externe Interface ist immer aktiviert.

Aushilfsweise

Datenpakete, deren Ziel den Routing-Einstellungen ent­spricht, die für das sekundäre externe Interface festgelegt sind, werden nur dann über dieses externe Interface geleitet, wenn zusätzlich weitere zu definierende Bedingungen erfüllt werden. Nur dann wird das sekundäre externe Interface akti­viert, und die Routing-Einstellungen für das sekundäre ex­terne Interface treten in Kraft (siehe „Tests zur Aktivierung des sekundären externen Interface“ auf Seite 162).

Netzwerk

Machen Sie hier die Angabe für das Routing zum externen Netzwerk. Sie können mehre Routing-Angaben machen. Da­tenpakete, die für diese Netze bestimmt sind, werden dann über das sekundäre externe Interface zum entsprechenden Netz - permanent oder aushilfsweise - geleitet.

Gateway

Geben Sie hier die IP-Adresse des Gateways an, über das die Vermittlung in das vorgenannte externe Netzwerk erfolgt - so­fern diese IP-Adresse bekannt ist.

Bei Einwahl ins Internet über die Telefonnummer des Internet Service Providers wird die Adresse des Gateways normaler­weise erst nach Einwahl bekannt. In diesem Fall ist %gateway als Platzhalter in das Feld einzutragen.

Tests zur Aktivierung des sekundären externen Inter­face

(Nur Betrieb-Modus Aushilfsweise)

Ist der Betriebs-Modus des sekundären externen Interface auf Aushilfsweise gestellt, dann wird durch periodisch durchgeführte Ping-Tests Folgendes überprüft: Ist ein be­stimmtes Ziel oder sind bestimmte Ziele erreichbar, wenn Datenpakete dorthin ihren Weg aufgrund aller für den mGuard festgelegten Routing-Einstellungen - außer der für das se­kundäre externe Interface - nehmen? Nur wenn keiner der Ping-Tests erfolgreich ist, geht der mGuard davon aus, dass es zurzeit nicht möglich ist, das/die Ziel(e) über das primäre externe Interface (= Ethernet-Schnittstelle oder WAN-Port des mGuards) zu erreichen. In diesem Fall wird das sekundäre externe Interface aktiviert, so dass - bei entsprechender Routing-Einstellung für das sekundäre externe Interface - die Datenpakete über dieses Interface geleitet werden.

Das sekundäre externe Interface bleibt so lange aktiviert, bis bei nachfolgenden Ping-Tests der mGuard ermittelt, dass das bzw. die Ziel(e) wieder erreichbar sind. Wird diese Bedingung erfüllt, werden die Datenpakete wieder über das primäre externe Interface geleitet und das sekundäre externe Interface wird deaktiviert.

Die fortlaufend durchgeführten Ping-Tests dienen also dazu zu überprüfen, ob bestimmte Ziele über das primäre externe Interface erreichbar sind. Bei Nichterreichbarkeit wird das sekundäre externe Interface für die Dauer der Nichterreichbarkeit aktiviert.

Erfolgreicher Ping-Test

Ein Ping-Test gilt dann als erfolgreich absolviert, wenn der mGuard innerhalb von 4 Sekunden eine positive Reaktion auf das ausgesandte Ping-Request Paket erhält. Bei einer positiven Reaktion gilt die Gegenstelle als erreichbar.

Typ

Legen Sie den Ping-Typ des Ping-Request-Pakets fest, das der mGuard zum Gerät mit der IP-Adresse aussenden soll, die Sie unter Ziel angeben.

Sie können mehrere solcher Ping-Tests auch zu unterschied­lichen Zielen konfigurieren.

IKE-Ping

Ermittelt, ob unter der angegebenen IP-Adresse ein VPN-Ga­teway erreichbar ist.

ICMP-Ping

Ermittelt, ob unter der angegebenen IP-Adresse ein Gerät er­reichbar ist.

Der gebräuchlichste Ping-Test. Die Reaktion auf solche Ping-Tests ist bei manchen Geräten aber ausgeschaltet, so dass sie nicht reagieren, obwohl sie erreichbar sind.

DNS-Ping

Ermittelt, ob unter der angegebenen IP-Adresse ein funktio­nierender DNS-Server erreichbar ist.

An den DNS-Server mit der angegebenen IP-Adresse wird eine generische Anfrage gerichtet, auf die jeder DNS-Server - sofern erreichbar - eine Antwort gibt.

Ziel

IP-Adresse des Test-Ziels.

Intervall zwischen den Starts der Testläufe (Sekunden)

Die oben unter Tests zur Aktivierung... definierten Ping-Tests werden nacheinander durchgeführt. Die einmalige se­quentielle Durchführung der definierten Ping-Tests wird als Testlauf bezeichnet. Testläufe werden in Zeitabständen kon­tinuierlich wiederholt. Das in diesem Feld angegebene Inter­vall gibt an, wie lange der mGuard nach dem Start eines Test­laufs abwartet, um den nächsten Testlauf zu starten. Die Testläufe werden nicht unbedingt vollständig abgearbeitet: Sobald ein Ping-Test eines Testlaufs erfolgreich ist, werden die folgenden Ping-Tests desselben Testlaufs ausgelassen. Dauert ein Testlauf länger als das festgelegte Intervall, dann wird der nächste Testlauf direkt im Anschluss gestartet.

Anzahl der Durchläufe durch die Testliste, bevor das sekundäre externe Interface akti­viert wird

Gibt an, wie viele nacheinander durchgeführte Testläufe mit negativem Ausgang es geben muss, damit der mGuard das sekundäre externe Interface aktiviert. Ein Testlauf hat dann einen negativen Ausgang, wenn keiner der darin enthaltenen Ping-Tests erfolgreich war.

Die hier festgelegte Anzahl gibt auch an, wie oft nach Aktivie­rung des sekundären externen Interface die Testläufe in Folge erfolgreich sein müssen, damit es wieder deaktiviert wird.

DNS-Einstellungen für das sekundäre externe Inter­face

DNS-Modus

Nur relevant bei aktiviertem sekundären externem Interface im Betriebs-Modus Aushilfsweise:

Der hier ausgewählte DNS-Modus legt fest, welche DNS-Ser­ver der mGuard verwendet für aushilfsweise herzustellende Verbindungen über das sekundäre externe Interface.

Verwende die primären DNS-Einstellungen unverändert

Es werden die DNS-Server benutzt, welche unter Netzwerk >> DNS-Server (siehe „Netzwerk >> DNS“ auf Seite 217) de­finiert sind.

DNS-Root-Nameserver

Anfragen werden an die Root-Nameserver im Internet gerich­tet, deren IP-Adressen im mGuard gespeichert sind. Diese Adressen ändern sich selten.

Provider definiert (via PPP-Auswahl)

Es werden die Domain Name Server des Internet Service Pro­viders benutzt, der den Zugang zum Internet zur Verfügung stellt.

Benutzerdefiniert (unten stehende Liste)

Ist diese Einstellung gewählt, nimmt der mGuard mit den Do­main Name Servern Verbindung auf, die in der nachfolgenden Liste Benutzerdefinierte Nameserver aufgeführt sind.

DNS-Server

(Nur bei DNS-Modus Benutzer­definiert)

In dieser Liste können Sie die IP-Adressen von Domain Name Servern erfassen. Diese benutzt der mGuard bei der Kommu­nikation über das sekundäre externe Interface, wenn dieses aushilfsweise aktiviert ist.

Dieses Menü steht nur auf dem TC MGUARD RS4000/RS2000 3G und TC MGUARD RS4000/RS2000 4G zur Verfügung.

Aus

Aus

Aus

-113 dBm ... -111 dBm

Sehr schlechter bis kein Netzempfang

Gelb

Aus

Aus

-109 dBm ... -89 dBm

Ausreichender Netzempfang

Gelb

Grün

Aus

-87 dBm ... -67 dBm

Guter Netzempfang

Gelb

Grün

Grün

-65 dBm ... -51 dBm

Sehr guter Netzempfang

Status Mobilfunkmodem

Status Mobilfunk-Interface

Gibt den Status der State Machine des Mobilfunkmodems wieder (z. B. Einwahl ins Datennetz oder SIM-Karten-Fehler).

Betriebszustand der Mobilfunk- und Ortungseinheit

Betriebszustand: System abgeschaltet / System eingeschal­tet

Temperaturzustand des Modems

Temperaturzustand des Mobilfunkmodems

Beim Über- oder Unterschreiten einer kritischen Temperatur schaltet sich das Mobilfunkmodem ab.

Signalstärke

Stärke des Mobilfunk-Signals, von
0 % ... 100 %, -113 dBm ... > - 51 dBm.

Die optimale Empfangsleistung liegt bei 100 % Signalstärke und - 51 dBm Dämpfung.

Derzeit verwendeter SIM-Karten-Schacht

Zeigt an, welcher SIM-Karten-Schacht verwendet wird (SIM 1 oder SIM 2).

Status der primären SIM

Status der SIM-Karte bzw. SIM-Karten-Halterung in Schacht 1.

Status der sekundären SIM

Status der SIM-Karte bzw. SIM-Karten-Halterung in Schacht 2.

Netzwerkstatus Mobilfunk

Verbindungsstatus des Modems zum Datennetz

Verbindungsstatus zum mobilen Datennetz:

Offline / Einwahl / Online

Aktuell verwendeter Mobilfunkbetreiber

Name des Mobilfunkproviders, der aktuell vom mGuard ver­wendet wird.

Roaming-Status des Mobilfunkmodems

Mögliche Status:

–Beim eigenen Netzanbieter registriert

–Bei einem fremden Netzanbieter registriert

–Nicht registriert

Verwendeter Mobil­funkstandard

Aktuell verwendeter Mobilfunkstandard

Public Land Mobile Network (PLMN) der Basisstation

(Nur bei Netzwerkverbindung „GSM/UMTS/LTE“)

PLMN: Eindeutige Identifikationsnummer des der Basissta­tion zugeordneten Providers

Die PLMN setzt sich aus dem dreistelligen Mobile Country Code (MCC) und dem zweistelligen Mobile Network Code (MNC) zusammen (MCC + MNC = PLMN).

Local Area Code (LAC) der Basisstation

(Nur bei Netzwerkverbindung „GSM/UMTS/LTE“)

LAC: Gebietskennzahl, Standort im Mobilfunknetz (in Dezi­mal-Schreibweise)

Cell-ID (CID) der Basisstation

(Nur bei Netzwerkverbindung „GSM/UMTS/LTE“)

CID: Eindeutige Identifikationsnummer der Mobilfunkzelle

Mobile network cdma2000 System ID

(Nur bei Netzwerkverbindung „CDMA“)

SID: System-Identifikationsnummer der CDMA-Mobilfunk­zelle

Mobile network cdma2000 Network ID

(Nur bei Netzwerkverbindung „CDMA“)

NID: Netzwerk-Identifikationsnummer der CDMA-Mobilfunk­zelle

Mobile network cdma2000 Directory Number

(Nur bei Netzwerkverbindung „CDMA“)

Rufnummer (Mobile Directory Number – MDN), die dem mGuard vom CDMA-Netzwerkprovider (z. B. Verizon) zuge­wiesen wird. Gültig für den nordamerikanischen Nummerie­rungsplan (North American Numbering Plan – NANP).

Die Nummer wird erst nach einer erfolgreichen Registrierung beim CDMA-Netzwerkprovider (z. B. Verizon OTASP) ange­zeigt (s. u.).

Mobile network cdma2000 OTASP Registration

(Nur bei Netzwerkverbindung „CDMA“)

Damit der mGuard im Mobilfunk-Netzwerk des CDMA-Provi­ders (z. B. Verizon) betrieben werden kann, müssen die dafür notwendigen Konfigurationen einmalig vom CDMA-Netzwerk­provider angefordert und heruntergeladen werden.

Bis mGuard-Firmwareversion 8.3: Mit einem Klick auf die Schaltfläche „Verizon Registrierung“ wird die Konfiguration heruntergeladen (OTASP-Methode). Der mGuard muss dazu zuvor bei Verizon angemeldet und freigeschaltet werden.

Ab mGuard-Firmwareversion 8.4: Die Konfiguration wird automatisch heruntergeladen, sobald sich der bei Verizon angemeldete und freigeschaltete mGuard erstmalig über CDMA mit dem Verizon-Netz verbindet.

Nach einer erfolgreichen Registrierung wird die MDN unter „Mobile network cdma2000 Directory Number“ angezeigt.

OTASP-Registrierung erneuern

Wenn ein bereits registriertes mGuard-Gerät mit einem neuen Mobilfunkvertrag (z. B. data plan von Verizon) und einer neuen Mobilfunknummer betrieben werden soll, muss die Re­gistrierung erneut durchgeführt werden.

Mit einem Klick auf die Schaltfläche „OTASP-Registrierung erneuern“ wird die neue Konfiguration heruntergeladen. Nach einer erfolgreichen Registrierung wird die neue MDN unter „Mobile network cdma2000 Directory Number“ an­gezeigt.

Um die Registrierung auf der Kommandozeile zu erneuern, muss folgender Befehl eingegeben werden:
perform_action cdma/otasp_verizon .

Mobilfunk-Einstellungen

Die explizite Auswahl von Mobilfunkfrequenzen ist ab mGuard-Firmware-Version 8.4 nicht mehr notwendig und möglich. Es erfolgt lediglich die Auswahl des Mobilfunkstan­dards.

Mobilfunkstandard

(Geräteabhängig)

Keine Mobilfunkverbindung: Mobilfunkverbindung abge­schaltet

GSM / UMTS / LTE: Mobilfunkverbindung über den Provider der SIM-Karte

CDMA: Mobilfunkverbindung über das CDMA-Verfahren ohne SIM-Karte. Die Anmeldung und Freischaltung  beim CDMA-Provider (z. B. Verizon) erfolgt mittels MEID-Code, der auf dem Gehäuse des verwendeten Geräts aufgedruckt ist. Die Registrierung und das Herunterladen der Konfiguration erfolgen ab mGuard-Firmwareversion 8.4 automatisch (s. o.).

2G (GPRS / EDGE / 1xRTT)

(Geräteabhängig)

Je nach ausgewähltem Mobilfunkstandard werden die Daten mittels GPRS/EDGE (GSM/UMTS/LTE) oder 1xRTT (CDMA) übertragen.

3G (UMTS / EVDO)

(Geräteabhängig)

Je nach ausgewähltem Mobilfunkstandard werden die Daten mittels UMTS (GSM/UMTS/LTE) oder EVDO (CDMA) über­tragen.

4G (LTE)

(Geräteabhängig)

Die Daten werden mittels LTE (GSM/UMTS/LTE) übertragen.

Wird nicht angezeigt bei verwendetem Mobilfunkstandard „CDMA“.

Primäre SIM (SIM 1)

Aktivierung

Sie können die Verwendung der SIM-Karte aktivieren oder de­aktivieren.

Status der primären SIM

Folgende Status werden angezeigt:

–SIM-Karten-Halterung eingelegt und leer (ohne SIM-Kar­te)

–SIM-Karten-Halterung fehlt (weder SIM-Karte noch Halte­rung vorhanden)

–PIN notwendig

–SIM-Karte autorisiert (PIN)

–Falsche PIN

–PUK notwendig (wenn die PIN zu oft falsche eingegeben wurde)

–SIM-Karten-Fehler

PIN der SIM-Karte

Vom Mobilfunk-Provider bereitgestellter Zahlencode. Bei SIM-Karten ohne PIN wird dieses Feld freigelassen.

Providerauswahl

Sie können die Anmeldung der SIM-Karte auf einen Provider aus der Liste beschränken oder alle Provider zulassen.

Wenn Alle ausgewählt ist, wird automatisch ein geeigneter und zur Verfügung stehender Provider ausgewählt.

APN manuell auswäh­len

(Nur bei TC MGUARD RS4000/RS2000 4G ATT und VZW)

Default: Deaktiviert

Der Access Point Name (APN) wird bei den Geräten TC MGUARD RS4000/RS2000 4G ATT und VZW automa­tisch vom Provider übermittelt und vom Gerät angewendet.

Treten bei der automatischen Übermittlung Fehler auf, muss die Funktion APN manuell auswählen aktiviert werden und der APN im Feld Access Point Name (APN) des Providers einge­tragen werden (siehe unten).

Access Point Name (APN) des Providers

Tragen Sie hier den Namen des Zugangs-Gateways für die Paketdatenübertragung Ihres Mobilfunk-Providers ein. Die APN erhalten Sie von Ihrem Mobilfunk-Provider.

APN

(Nur bei TC MGUARD RS4000/RS2000 4G ATT und VZW)

Der automatisch vom Provider bezogene oder manuell ange­gebene APN wird angezeigt.

Telefonnummer

(Nur bei TC MGUARD RS4000/RS2000 4G VZW)

Die der SIM-Karte zugeordnete Telefonnummer wird ange­zeigt.

Status der OTA-Regis­trierung

(Nur bei TC MGUARD RS4000/RS2000 4G VZW)

Status der Registrierung bei dem Mobilfunkbetreiber Verizon.

PPP-Authentifizierung

Bei manchen Mobilfunk-Providern ist für die Übertragung von Paketdaten eine PPP-Authentifizierung notwendig.

Wenn Sie die Funktion aktivieren, müssen zusätzlich die ent­sprechenden Zugangsdaten (Login und Passwort) angege­ben werden.

PPP-Login

(Nur bei aktivierter Funktion „PPP-Authentifizierung“)

Geben Sie hier die PAP- oder CHAP-Benutzerkennung (Lo­gin) zur Anmeldung am Zugangs-Gateway des Mobilfunk-Providers an. Diese Information erhalten Sie von Ihrem Mobil­funk-Provider.

PPP-Passwort

(Nur bei aktivierter Funktion „PPP-Authentifizierung“)

Geben Sie hier das PAP- oder CHAP-Benutzerpasswort zur Anmeldung am Zugangs-Gateway des Mobilfunk-Providers an. Diese Information erhalten Sie von Ihrem Mobilfunk-Provi­der.

SIM-Fallback

(Nur wenn beide SIM-Karten aktiviert sind)

(Nicht bei TC MGUARD RS2000/4000 4G VZW und TC MGUARD RS2000/4000 4G ATT)

Umschaltung auf pri­märe SIM nach

Gibt die Zeit in Stunden an (0 – 24), nach deren Ablauf von der sekundären (SIM 2) auf die primäre SIM-Karte (SIM 1) zurück­geschaltet wird, sofern die Prüfung der Ziele erfolgreich ist.

Im Fehlerfall wird sofort auf die primäre SIM-Karte zurückge­schaltet.

Ist der Wert „0“ angegeben, wird erst im Fehlerfall oder nach einem Neustart auf die primäre SIM-Karte zurückgeschaltet.

Timeout bei SIM-Initia­lisierung

Maximaler Zeitraum für die SIM-Initialisierung.

Wird der Zeitraum überschritten, wird auf die andere SIM um­geschaltet, wenn diese aktiviert ist. Andernfalls wird die Initia­lisierung der aktivierten SIM wiederholt.

Timeout bei Netzwerk­registrierung

Maximaler Zeitraum zwischen erfolgter SIM-Initialisierung und der Verbindung mit dem Sprachnetzwerk (SMS-Versand möglich).

Wird der Zeitraum überschritten, wird auf die andere SIM um­geschaltet, wenn diese aktiviert ist. Andernfalls wird gewartet, bis das Mobilfunkmodem wieder eine Verbindung mit dem Sprachnetzwerk herstellen kann.

Neuverbindung (Relogin)

Verbindung täglich erneuern

Die Verbindung zum Mobilfunk-Provider wird täglich zu einem festgelegten Zeitpunkt getrennt und neu aufgebaut, um damit eine Zwangstrennung durch den Provider zu vermeiden.

Verbindung täglich erneuern um (Stun­den) (Minute)

(Nur bei aktivierter Funktion „Verbindung täglich erneuern“)

Uhrzeit, um die die Verbindung erneuert wird.

Standard: 0 h : 0 m

Werte: 0 – 23 Stunden und 0 – 59 Minuten

Mobilfunk-Überwachung

Mit den folgenden Testzielen können Sie prüfen, ob bei einer aktiven Mobilfunkverbin­dung mit Paketdatenübertragung tatsächlich Daten übertragen werden können.

Dazu werden Testziele (Hosts) im Internet in bestimmten Intervallen angepingt und somit geprüft, ob mindestens eines dieser Ziele erreichbar ist. Wenn die definierten Ziele nach festgelegten Intervallen nicht erreicht werden können, wird die Mobilfunkverbindung als fehlerhaft erkannt.

Wenn zwei SIM-Karten konfiguriert sind, wird die Mobilfunkverbindung mit der aktuell nicht verwendeten SIM-Karte neu aufgebaut.

Bei nur einer aktivierten SIM-Karte oder im Verfahren CDMA wird das Mobilfunkmodem zurückgesetzt und anschließend die Mobilfunkverbindung neu aufgebaut.

Zustandsänderungen der Mobilfunk-Überwachung können darüber hinaus per E-Mail, SMS oder SNMP-Trap versendet werden.

Mobilfunk-Netzwerk­tests

Status der Netzwerküberwachung

Intervall zwischen den Testläufen (Minuten)

Zeit zwischen zwei Testdurchläufen in Minuten

Wert: 2 - 60 Minuten (Standard: 5 Minuten)

Anzahl der Durchläufe durch die Testliste bevor die Mobilfunk­verbindung als unter­brochen gewertet wird

Anzahl der Wiederholungen, bis die Mobilfunkverbindung als abgebrochen gilt.

Wert: 1 - 5 (Standard: 3)

Testziele

Typ: Der Ping-Typ kann für jedes Testziel getrennt konfigu­riert werden:

–ICMP-Ping (ICMP Echo Request, ICMP Echo Reply):

Ermittelt, ob unter der angegebenen IP-Adresse ein Gerät erreichbar ist.

Der gebräuchlichste Ping-Test. Die Reaktion auf solche Ping-Tests ist bei manchen Geräten aber ausgeschaltet, so dass sie nicht reagieren, obwohl sie erreichbar sind.

–DNS-Ping (DNS-Query auf UDP-Port 53):

Ermittelt, ob unter der angegebenen IP-Adresse ein funk­tionierender DNS-Server erreichbar ist.

An den DNS-Server mit der angegebenen IP-Adresse wird eine generische Anfrage gerichtet, auf die jeder er­reichbare DNS-Server eine Antwort gibt.

–IKE-Ping (IPsec-IKE-Query auf UDP-Port 500):

Ermittelt, ob unter der angegebenen IP-Adresse ein VPN-Gateway erreichbar ist.

Ziel: Sie können Testziele als Hostname oder IP-Adresse an­geben. Die Test-Ziele werden in der angegebenen Reihen­folge abgearbeitet.

Kommentar: Ein frei wählbarer Kommentar.

Mobilfunk-Benachrichti­gungen

Es können beliebige SMS-Empfänger mit vordefinierten Ereignissen und einer frei defi­nierbaren Nachricht verknüpft werden. Die Liste wird von oben nach unten abgearbeitet.

SMS-Empfängernum­mer

Empfängernummer für die SMS

Ereignis

Wenn das ausgewählte Ereignisses eintritt, wird die damit ver­knüpfte Empfängernummer angewählt und an diese wird das Ereignis als SMS geschickt.

Zusätzlich kann eine SMS-Nachricht hinterlegt und gesendet werden.

Eine vollständige Liste aller Ereignisse finden Sie unter „Ereig­nistabelle“ auf Seite 72.

Selektor

(Bei entsprechender Auswahl des Ereignisses „Aktivierungs­zustand OpenVPN- bzw. IPsec-VPN-Verbindung)

Hier kann eine konfigurierte VPN-Verbindung ausgewählt werden, die per SMS überwacht wird.

SMS-Inhalt

Sie können hier den Text eingeben, der als SMS verschickt wird.

Maximal 160 Zeichen aus dem GSM-Basis-Alphabet (siehe SMS-Zeichensatz) oder 70 Unicode-Symbole.

Der Text ist frei definierbar. Sie können Bausteine aus der Er­eignistabelle verwenden, die als Platzhalter in Klartext (\A und \V) oder in maschinenlesbarer Form (\a und v\) eingefügt wer­den können. Zeitstempel in Form eines Platzhalters (\T bzw. \t (maschinenlesbar)) können ebenfalls eingefügt werden (siehe „Ereignistabelle“ auf Seite 72).

Eingehend

Eingehende SMS können dazu benutzt werden, VPN-Verbindungen zu initiieren (start) oder zu beenden (stop). Die SMS muss einen zuvor für die jeweilige VPN-Verbindung konfigurierten Token und das entsprechende Kommando enthalten.

Telefonnummer und Inhalt der letzten ein­gehenden SMS

Zeigt die Absendernummer und den Textinhalt der zuletzt ein­gegangenen SMS an.

SMS versenden

SMS versenden

Empfängernummer

Geben Sie die Telefonnummer des Empfängers der SMS ein (maximal 20 Ziffern und ein '+' für internationale Telefonnum­mern).

Nachricht

Geben Sie hier den Text ein, der als SMS verschickt werden soll.

Maximal 160 Zeichen aus dem GSM-Basis-Alphabet (siehe SMS-Zeichensatz) oder 70 Unicode-Symbole.

SMS versenden

Klicken Sie auf die Schaltfläche „SMS versenden“, um die Nachricht zu versendet.

SMS-Zeichensatz

In Firmware-Versionen vor 8.3 wurde versucht, eine maximale Zeichenmenge in einer SMS zu übertragen. Da sich einige Telekommunikationsanbieter nicht an Standards hal­ten, wurden manche SMS nicht exakt (wortwörtlich) übertragen. Dies führt in automati­sierten Anwendungen zu Problemen.

Um eine wörtliche Übertragung sicherzustellen, sollten die verwendeten Zeichen auf fol­genden Basis-Zeichensatz beschränkt werden:

–(Leerzeichen)

–0-9

–a-z

–A-Z

–! " # % & ( ) * + , - / : ; < = > ?

Beschränke ausge­hende SMS auf Basis-Zeichensatz

Um die Verwendung des Basis-Zeichensatzes zu erzwingen, aktivieren Sie die Funktion.

Nach der Aktivierung wird eine durch den mGuard versendete SMS nicht in die eingestellte Sprache der Web-Benutzerober­fläche übersetzt; es wird immer Englisch verwendet. Versen­dete E-Mail-Nachrichten sind davon nicht betroffen.

Ausgehend

Telefonnummer und Inhalt der letzten aus­gehenden SMS

Absendernummer und Textinhalt der letzten gesendeten SMS.

Versandstatus der letzten ausgehenden SMS

Versandstatus der letzten gesendeten SMS.

Dieses Menü steht geräteabhängig nicht auf allen Mobilfunkgeräten zur Verfügung.

Einstellungen

Ortungssystem akti­vieren

Wenn Sie die Funktion aktivieren, wird die Position des mGuards bestimmt.

Systemzeit aktualisie­ren

Bei aktivierter Funktion erfolgt die Zeitsynchronisierung der lo­kalen Systemzeit durch das verwendete Ortungssystem.

Ist gleichzeitig die Zeitsynchronisation mittels NTP-Server ak­tiviert (siehe „Aktiviere NTP-Zeitsynchronisation“ auf Seite 53), werden alle vorliegenden Quellen zur Zeitbestim­mung verwendet.

Aktuelle Position

Gültigkeit der Positi­onsdaten

Zeigt an, ob valide Positionsdaten für den mGuard verfügbar sind.

Empfangene Satelliten

Zeigt die Anzahl der für den mGuard verfügbaren GPS/GLONASS-Satelliten an, die für eine Positionsbestim­mung zur Verfügung stehen.

Breitengrad der aktu­ellen Position

Zeigt den aktuellen Breitengrad der mGuard-Position an.

Längengrad der aktu­ellen Position

Zeigt den aktuellen Längengrad der mGuard-Position an.

In OpenStreetMap anzeigen

Aus den Positionsdaten des mGuards wird ein Link zu OpenStreetMap erzeugt, mit dem ein Web-Browser eine Kar­tenansicht der aktuellen Position des mGuards anzeigen kann.

Nur TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4000, FL MGUARD RS4004, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD RS, FL MGUARD BLADE, FL MGUARD DELTA, mGuard delta (Innominate)

PPP-Optionen (ausgehen­der Ruf)

(Nicht bei TC MGUARD RS2000 3G, TC MGUARD RS2000 4G, FL MGUARD RS2005, FL MGUARD RS2000)

Anzurufende Telefon­nummer

Telefonnummer des Internet Service Providers. Nach Herstel­lung der Telefonverbindung wird darüber die Verbindung ins Internet hergestellt.

Befehlssyntax: Zusammen mit dem bereits vorangestellten Modemkommando ATD zum Wählen ergibt sich für das ange­schlossene Modem z. B. folgende Wählsequenz: ATD765432

Standardmäßig wird das kompatiblere Pulswahlverfahren be­nutzt, das auf jeden Fall funktioniert.

Es können Wählsonderzeichen in die Wählsequenz aufge­nommen werden.

HAYES-Wählsonderzeichen

–W : Weist das Modem an, an dieser Stelle eine Wählpau­se einzulegen, bis das Freizeichen zu hören ist.

Wird verwendet, wenn das Modem an einer Nebenstel­lenanlage angeschlossen ist, bei der für Anrufe „nach draußen“ mit einer bestimmten Nummer (z. B. 0) zu­nächst das externe Festnetz (das Amt) geholt werden muss und erst dann die Telefonnummer des gewünsch­ten Teilnehmers gewählt werden kann.

Beispiel: ATD0W765432

–T : Wechsel auf Tonwahlverfahren.

Soll bei Anschluss an einen tonwahlfähigen Telefonan­schluss das schnellere Tonwahlverfahren verwendet werden, setzen Sie das Wählsonderzeichen T vor die Rufnummer. Beispiel: ATDT765432

Authentifizierung

PAP / CHAP / Keine

–PAP = Password Authentication Protocol

–CHAP = Challenge Handshake Authentication Protocol.

Das sind Bezeichnungen für Verfahren zur sicheren Übertra­gung von Authentifizierungsdaten über das Point-to-Point Protocol.

Wenn der Internet Service Provider verlangt, dass sich der Benutzer mit Benutzername und Passwort anmeldet, wird PAP oder CHAP als Authentifizierungsverfahren benutzt. Be­nutzername und Passwort sowie eventuell weitere Angaben, die der Benutzer für den Aufbau einer Verbindung ins Internet angeben muss, werden dem Benutzer vom Internet Service Provider mitgeteilt.

Je nachdem, ob PAP oder CHAP oder Keine ausgewählt wird, erscheinen unterhalb die entsprechenden Felder. In diese tragen Sie die entsprechenden Daten ein.

Wenn die Authentifizierung per PAP erfolgt:

Benutzerkennung

Benutzername, zur Anmeldung beim Internet-Service-Provi­der, um Zugang zum Internet zu erhalten.

Passwort

Passwort, zur Anmeldung beim Internet-Service-Provider an­gegeben, um Zugang zum Internet zu erhalten.

PAP-Server-Authentifi­zierung

Bei aktivierter Funktion werden die nachfolgen 2 Eingabefel­der eingeblendet:

Benutzerkennung des Servers

Benutzername und Passwort, die der mGuard beim Server abfragt. Nur wenn der Server die verabredete Benutzerna­men/Passwort-Kombination liefert, erlaubt der mGuard die Verbindung.

Passwort des Servers

Nachfolgend aufge­führte Felder

Siehe unter „Wenn als Authentifizierung „Keine“ festgelegt wird“ auf Seite 189.

Wenn die Authentifizierung per CHAP erfolgt:

Lokaler Name

Ein Name für den mGuard, mit dem er sich beim Internet Ser­vice Provider meldet. Eventuell hat der Service Provider meh­rere Kunden und muss durch die Nennung des Namens er­kennen können, wer sich bei ihm einwählen will.

Nachdem der mGuard sich mit diesem Namen beim Internet Service Provider angemeldet hat, vergleicht der Service Pro­vider dann auch das angegebene Passwort für die Client-Au­thentifizierung (siehe unten).

Nur wenn der Name dem Service Provider bekannt ist und das Passwort stimmt, kann die Verbindung erfolgreich aufgebaut werden.

Name der Gegenstelle

Ein Name, den der Internet Service Provider dem mGuard nennen wird, um sich zu identifizieren. Der mGuard wird keine Verbindung zum Service Provider aufbauen, wenn dieser nicht den richtigen Namen nennt.

Passwort für die Client-Authentifizie­rung

Passwort, das zur Anmeldung beim Internet Service Provider angegeben werden muss, um Zugang zum Internet zu erhal­ten.

CHAP-Server-Authen­tifizierung:

Bei aktivierter Funktion werden die nachfolgen 2 Eingabefel­der eingeblendet:

Passwort für die Ser­ver-Authentifizierung

Passwort, das der mGuard beim Server abfragt. Nur wenn der Server das verabredete Passwort liefert, erlaubt der mGuard die Verbindung.

Nachfolgend aufge­führte Felder

Siehe „Wenn als Authentifizierung „Keine“ festgelegt wird“ auf Seite 189.

Wenn als Authentifi­zierung „Keine“ fest­gelegt wird

In diesem Fall werden die Felder ausgeblendet, die die Au­thentifizierungsmethoden PAP oder CHAP betreffen.

Es bleiben dann nur die Felder unterhalb sichtbar, die weitere Einstellungen festlegen.

PPP Optionen (abgehender Ruf)

Bedarfsweise Einwahl

Bei aktivierter Funktion (Standard): Diese Einstellung ist sinn­voll bei Telefonverbindungen, deren Kosten nach der Verbin­dungsdauer berechnet werden.

Der mGuard befiehlt dem Modem erst dann, eine Telefonver­bindung aufzubauen, wenn auch wirklich Netzwerkpakete zu übertragen sind. Er weist dann auch das Modem an, die Tele­fonverbindung wieder abzubauen, sobald für eine bestimmte Zeit keine Netzwerkpakete mehr zu übertragen gewesen sind (siehe Wert in Verbindungstrennung nach Leerlauf). Auf diese Weise bleibt der mGuard allerdings nicht ständig von außer­halb, d. h. für eingehende Datenpakete, erreichbar.

–Oft: Der mGuard ist so konfiguriert, dass er seine Systemzeit (Datum und Uhrzeit) re­gelmäßig mit einem externen NTP-Server synchronisiert.

–Sporadisch: Der mGuard agiert als DNS-Server und muss für einen Client eine DNS-Anfrage durchführen.

–Nach einem Neustart: Eine aktive VPN-Verbindung ist auf Initiiere gestellt. Dann wird jedes mal nach einem Neustart des mGuards eine Verbindung aufgebaut.

–Nach einem Neustart: Bei einer aktiven VPN-Verbindung ist das Gateway der Ge­genstelle als Hostname angegeben. Dann muss der mGuard nach einem Neustart bei einem DNS-Server die zum Hostnamen gehörige IP-Adresse anfordern.

–Oft: Es sind VPN-Verbindungen eingerichtet und es werden regelmäßig DPD-Nach­richten gesendet (siehe „Dead Peer Detection“ auf Seite 375).

–Oft: Der mGuard ist so konfiguriert ist, dass er seine externe IP-Adresse regelmäßig einem DNS-Service, z. B. DynDNS, mitteilt, damit er unter seinem Hostnamen er­reichbar bleibt.

–Oft: Die IP-Adressen von VPN-Gateways von Gegenstellen müssen beim DynDNS-Service angefordert bzw. durch Neuanfragen auf dem aktuellen Stand gehalten wer­den.

–Sporadisch: Der mGuard ist so konfiguriert, dass SNMP-Traps zum entfernten Ser­ver gesendet werden.

–Sporadisch: Der mGuard ist so konfiguriert, dass er den Fernzugriff per HTTPS, SSH oder SNMP zulässt und annimmt. (Dann sendet der mGuard Antwortpakete an jede IP-Adresse, von der ein Zugriffsversuch erfolgt (sofern die Firewall-Regeln den Zu­griff zulassen würden)).

–Oft: Der mGuard ist so konfiguriert, dass er in regelmäßigen Abständen Verbindung zu einem HTTPS Server aufnimmt, um gegebenenfalls ein dort vorliegendes Konfi­gurationsprofil herunterzuladen (siehe „Verwaltung >> Zentrale Verwaltung“ auf Seite 119).

Bei deaktivierter Funktion baut der mGuard mit Hilfe des an­geschlossenen Modems so früh wie möglich nach seinem Neustart oder nach Aktivierung des Netzwerk-Modus Modem die Telefonverbindung auf. Diese bleibt dann dauerhaft beste­hen, unabhängig davon, ob Daten übertragen werden oder nicht. Wird die Telefonverbindung dennoch unterbrochen, versucht der mGuard, sie sofort wiederherzustellen. So ent­steht eine ständige Verbindung, also praktisch eine Standlei­tung. Auf diese Weise bleibt der mGuard auch ständig von au­ßerhalb, d. h. für eingehende Datenpakete, erreichbar.

Verbindungstrennung nach Leerlauf

Wird nur beachtet, wenn Bedarfsweise Einwahl aktiviert ist.

Bei aktivierter Funktion (Standard) trennt der mGuard die Te­lefonverbindung, sobald über die unter Leerlaufzeit angege­bene Zeitdauer kein Datenverkehr stattfindet. Zur Trennung der Telefonverbindung gibt der mGuard dem angeschlosse­nen Modem das entsprechende Kommando.

Bei deaktivierter Funktion gibt der mGuard dem angeschlos­senen Modem kein Kommando, die Telefonverbindung zu trennen.

Leerlaufzeit (Sekun­den)

Standard: 300 Sekunden (0:05:00)

Findet nach Ablauf der hier angegebenen Zeit weiterhin kein Datenverkehr statt, kann der mGuard die Telefonverbindung trennen (siehe oben unter Verbindungstrennung nach Leer­lauf).

Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

Lokale IP-Adresse

IP-Adresse der seriellen Schnittstelle des mGuards, die jetzt als WAN-Schnittstelle fungiert. Wird diese IP-Adresse vom In­ternet Service Provider dynamisch zugewiesen, übernehmen Sie den voreingestellten Wert: 0.0.0.0.

Sonst, d. h. bei Zuteilung einer festen IP-Adresse, tragen Sie diese hier ein.

IP-Adresse der Gegen­stelle

IP-Adresse der Gegenstelle. Bei Anbindung ans Internet ist das die IP-Adresse des Internet Service Providers, über die der Zugang ins Internet bereit gestellt wird. Da für die Verbin­dung das Point-to-Point Protocol (PPP) verwendet wird, muss im Normalfall diese IP-Adresse nicht spezifiziert werden, so dass Sie den voreingestellten Wert übernehmen: 0.0.0.0.

Netzmaske

Die hier anzugegebene Netzmaske gehört zu den beiden IP-Adressen Lokale IP-Adresse und IP-Adresse der Gegen­stelle. Üblich ist, dass entweder alle drei Werte (Lokale IP-Adresse, IP-Adresse der Gegenstelle, Netzmaske) fest einge­stellt werden oder auf dem Wert 0.0.0.0 verbleiben.

Auf der Registerkarte Modem nehmen Sie Anschlusseinstel­lungen für ein externes Modem vor (siehe „Modem“ auf Seite 195).

Nur TC MGUARD RS4000 3G, FL MGUARD RS4004, FL MGUARD RS4000, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD RS, FL MGUARD BLADE, FL MGUARD DELTA, mGuard delta (Innominate)

PPP-Einwahloptionen

(Nicht bei TC MGUARD RS2000 3G, TC MGUARD RS2000 4G, FL MGUARD RS2005, FL MGUARD RS2000)

Ist nur dann zu konfigurieren, wenn der mGuard die ppp-Einwahl erlauben soll, entweder über

–ein an der seriellen Schnittstelle angeschlossenes Modem oder

–ein gebautes Modem (als Option beim FL MGUARD RS)

–ein eingebautes Mobilfunkmodem (beim TC MGUARD RS4000 3G, TC MGUARD RS4000 4G).

Die ppp-Einwahl kann für Zugriffe ins LAN (oder auf den mGuard für Konfigurationszwe­cke) genutzt werden (siehe „Modem“ auf Seite 195).

Wird das Modem für ausgehende Rufe verwendet, indem es als primäre externe Schnitt­stelle (Netzwerk-Modus Modem) des mGuards oder als dessen sekundäre externe Schnittstelle (wenn aktiviert im Netzwerk-Modus Stealth oder Router) fungiert, steht es nicht für die ppp-Einwahloption zur Verfügung.

Modem (PPP)

(Nur TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4000, FL MGUARD RS4004, FL MGUARD RS (ohne einge­bautes Modem/ISDN-TA), FL MGUARD DELTA, mGuard delta (Innominate))

Aus / Internes Modem / Externes Modem

Der Schalter muss auf Aus stehen, wenn keine serielle Schnittstelle und kein internes Modem für die ppp-Einwahlop­tion genutzt werden soll.

Steht dieser Schalter auf Internes/Externes Modem, steht die ppp-Einwahloption zur Verfügung. Die Anschlusseinstel­lungen für das angeschlossene externe Modem sind auf der Registerkarte Modem vorzunehmen.

Modem (PPP)

(Nur bei FL MGUARD RS (mit eingebautem Modem / ISDN-TA))

Aus / Eingebautes Modem / Externes Modem

Der Schalter muss auf Aus stehen, wenn die serielle Schnitt­stelle nicht für die ppp-Einwahloption genutzt werden soll.

Steht dieser Schalter auf Externes Modem, steht die PPP-Einwahloption zur Verfügung. Dann muss an der seriellen Schnittstelle ein externes Modem angeschlossen sein. Die Anschlusseinstellungen für das angeschlossene externe Modem sind auf der Registerkarte Modem vorzunehmen.

Steht dieser Schalter auf Eingebautes Modem, steht die PPP-Einwahloption zur Verfügung. In diesem Fall erfolgt die Modemverbindung nicht über die auf seiner Frontseite befind­liche Buchse Serial sondern über die Klemmleiste unten, über die das eingebaute Modem bzw. der eingebaute ISDN-Termi­naladapter mit dem Telefonnetz verbunden wird. Die Anschlusseinstellungen für das eingebaute Modem sind auf der Registerkarte Modem vorzunehmen.

Bei Nutzung der Option Eingebautes Modem ist es zusätz­lich möglich, die serielle Schnittstelle zu benutzen. Zu dessen Nutzungsmöglichkeiten siehe „Modem“ auf Seite 195.

Lokale IP-Adresse

IP-Adresse des mGuards, unter der er bei einer PPP-Verbin­dung erreichbar ist.

IP-Adresse der Gegen­stelle

IP-Adresse der Gegenstelle von der PPP-Verbindung.

PPP-Login

Benutzerkennung (Login), welche die PPP-Gegenstelle ange­ben muss, um per PPP-Verbindung Zugriff auf den mGuard zu bekommen.

PPP-Passwort

Das Passwort, welches die PPP-Gegenstelle angeben muss, um per PPP-Verbindung Zugriff auf den mGuard zu bekom­men.

Eingangsregeln (PPP)

Firewall-Regeln für eingehende PPP-Verbindungen zum LAN Interface.

Sind mehrere Firewall-Regeln gesetzt, werden diese in der Reihenfolge der Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann an­gewandt. Sollten nachfolgend in der Regelliste weitere Regeln vorhanden sein, die auch passen würden, werden diese ignoriert.

Bei den Angaben haben Sie folgende Möglichkeiten:

Firewall-Eingangsregeln (seri­elle Schnittstelle)

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle

Von IP / Nach IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Bereich anzu­geben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) bezeichnet einen Portbe­reich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben (z. B. 110 für pop3 oder pop3 für 110).

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Abweisen bedeutet, die Datenpakete werden zurückgewie­sen, so dass der Absender eine Information über die Zurück­weisung erhält.

Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verschluckt, so dass der Absender keine Informa­tion über deren Verbleib erhält.

Namen von Regelsätzen, sofern definiert. Bei der Auswahl eines Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfiguriert sind (siehe „Regelsätze“ auf Seite 284).

Namen von Modbus-TCP-Regelsätzen, sofern definiert. Bei der Auswahl eines Modbus-TCP-Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfigu­riert sind (siehe „Modbus TCP“ auf Seite 298).

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll - Funktion Log akti­vieren

–oder nicht - Funktion Log deaktivieren (werkseitige Vor­einstellung).

Log-Einträge für unbe­kannte Verbindungs­versuche

Bei aktivierter Funkion werden alle Verbindungsversuche pro­tokolliert, die nicht von den voranstehenden Regeln erfasst werden.

Ausgangsregeln (PPP)

Firewall-Regeln für ausgehende PPP-Verbindungen vom LAN Interface.

Die Parameter entsprechen denen von Eingangsregeln (PPP).

Diese Ausgangsregeln gelten für Datenpakete, die bei einer durch PPP-Einwahl initiierten Datenverbindung nach außen gehen.

Nur TC MGUARD RS4000 3G, TC MGUARD RS2000 3G (nur Konsole), FL MGUARD RS4004, FL MGUARD RS4000/RS2000, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD RS, FL MGUARD SMART2, FL MGUARD DELTA (nicht FL MGUARD SMART 533/266, FL MGUARD PCI(E)4000, FL MGUARD BLADE, mGuard delta (Innominate).

Externes Modem

(Nicht bei TC MGUARD RS2000 3G, TC MGUARD RS2000 4G, FL MGUARD RS2005, FL MGUARD RS2000)

Hardware-Handshake RTS/CTS

Aus / Ein

Bei Ein findet bei der PPP-Verbindungen Flusssteuerung durch RTS- und CTS-Signale statt.

Baudrate

Standard: 57600 / (FL MGUARD GT/GT: 38400).

Übertragungsgeschwindigkeit für die Kommunikation zwi­schen mGuard und Modem, die über das serielle Verbin­dungskabel zwischen den beiden Geräten verläuft.

Der Wert sollte so hoch eingestellt werden, wie es das Modem unterstützt. Ist der Wert niedriger eingestellt als die Geschwin­digkeit, welche das Modem auf der Telefonleitung erreichen kann, dann wird die Telefonleitung nicht voll ausgenutzt.

Verwende das Modem transparent (nur bei Einwahl)

Wird das externe Modem zur Einwahl verwendet (siehe Seite 192), dann bedeutet die Aktivierung der Funktion, dass der mGuard das Modem nicht initialisiert. Die nachfolgend konfigurierte Modem-Initialisierungssequenz wird nicht be­achtet. So kann entweder ein Modem angeschlossen werden, das von selbst Anrufe annimmt (Standard-Profil des Modems beinhaltet „Auto-Answer“), oder es kann anstelle des Modems ein Null-Modem-Kabel zu einem Computer und darüber das PPP-Protokoll verwendet werden.

Modem-Initialisie­rungssequenz

Gibt die Initialisierungssequenz an, die der mGuard zum an­geschlossenen Modem sendet.

Standard: '' \d+++\dATH OK

Schlagen Sie im Handbuch zum Modem nach, wie die Initiali­sierungssequenz für diese Modem lautet.

Die Initialisierungssequenz ist eine Folge von Zeichenketten, die vom Modem erwartet werden und von Befehlen, die dar­aufhin an das Modem gesendet werden, damit das Modem eine Verbindung aufbauen kann.

’’ (zwei einfache, direkt hinter­einander gesetzte Anfüh­rungszeichen)

Die leere Zeichenkette innerhalb der Anführungsstriche bedeutet, dass der mGuard am Anfang keine Information vom angeschlossene Modem erwartet, sondern direkt den fol­genden Text an das Modem sendet.

\d+++\dATH

Diese Zeichenkette sendet der mGuard an das Modem, um dessen Bereitschaft zum An­nehmen von Kommandos festzustellen.

OK

Gibt an, dass der mGuard vom Modem die Zeichenkette OK als Antwort auf \d+++\dATH erwartet.

Bei vielen Modem-Modellen ist es möglich, Modem-Voreinstellungen im Modem selber abzuspeichern. Doch sollte auf diese Möglichkeit besser verzichtet werden.

Initialisierungssequenzen sollten statt dessen lieber extern, d. h. beim mGuard konfigu­riert werden. Dann kann bei einem Defekt des Modems dieses schnell und problemlos ausgetauscht werden, ohne auf Modem-Voreinstellungen zu achten.

Soll das externe Modem für eingehende Rufe verwendet werden, ohne dass die Modem-Voreinstellungen darauf ausgelegt sind, dann müssen Sie dem Modem mitteilen, dass es hereinkommende Rufe nach dem Klingeln annehmen soll.

Bei Verwendung des erweiterten HAYES-Befehlssatzes geschieht dies durch das An­hängen der Zeichen „ AT&S0=1 OK“ (ein Leerzeichen gefolgt von „AT&S0=1“, gefolgt von einem Leerzeichen, gefolgt von „OK“) an die Initialisierungssequenz.

Manches externe Modem benötigt gemäß seiner Werkseinstellungen zur korrekten Funk­tion die physikalische Verbindung mit der DTR-Leitung der seriellen Schnittstelle.

Weil die mGuard-Modelle diese Leitung an der externen seriellen Schnittstelle nicht zur Verfügung stellen, muss dann die obige Initialisierungssequenz um die anzuhängenden Zeichen „ AT&D0 OK“ (ein Leerzeichen gefolgt von „AT&D0“, gefolgt von einem Leerzei­chen, gefolgt von „OK“) erweitert werden. Gemäß des erweiterten HAYES-Befehlssatz bedeutet diese Sequenz, dass das Modem die DTR-Leitung nicht verwendet.

Soll das externe Modem für ausgehende Rufe verwendet werden, ist es an einer Neben­stellenanlage angeschlossen, und erzeugt diese Nebenstellenanlage kein Freizeichen nach dem Abheben, dann muss das Modem angewiesen werden, vor dem Wählen nicht auf ein Freizeichen zu warten.

In diesem Fall erweitern Sie die Initialisierungssequenz um die anzuhängenden Zeichen „ ATX3 OK“ (ein Leerzeichen gefolgt von „ATX3“, gefolgt von einem Leerzeichen, gefolgt von „OK“).

In dem Fall sollten Sie in die Anzurufende Telefonnummer nach der Ziffer zur Amtsholung das Steuerzeichen „W“ einfügen, damit auf das Freizeichen gewartet wird.

Externes Modem

Wie beim TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4004, FL MGUARD RS (ohne eingebautes Modem), FL MGUARD DELTA, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD BLADE, mGuard delta (Innominate):

Konfiguration wie oben für Externes Modem (siehe „Externes Modem“ auf Seite 196).

Eingebautes Modem (ana­log)

Staat

Hier muss der Staat angegeben werden, in dem der mGuard mit seinem eingebautem Modem betrieben wird. Nur dann ist gewährleistet, dass sich das eingebaute Modem gemäß der in diesem Staat gültigen Fernmeldevorschriften verhält und z. B. Rufton und Wählton richtig erkennt und entsprechend re­agiert.

Nebenstelle (bzgl. Amtsholung)

Bei Nein erwartet der mGuard bei Anschaltung ans Telefon­netz den Wählton, wenn der mGuard die Gegenstelle anwäh­len will.

Bei Ja erwartet der mGuard keinen Wählton sondern beginnt gleich mit der Anwahl der Gegenstelle. Dieses Verhalten kann notwendig sein, wenn das eingebaute Modem des mGuards an einer privaten Nebenstellenanlage angeschlossen ist, bei der beim „Abheben“ kein Wählton ausgegeben wird. Wenn zur Anwahl nach draußen (Amtsholung) eine bestimmte Num­mer, z. B. „0“ gewählt werden muss, ist diese der anzuwählen­den Telefonnummer der gewünschten Gegenstelle voran zu stellen.

Lautstärke (eingebau­ter Lautsprecher)

Lautsprechernutzung

Diese beiden Einstellungen legen fest, was der eingebaute Lautsprecher des mGuards wiedergeben soll und in welcher Lautstärke.

Externes Modem

Wie beim FL MGUARD RS4000, TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4004, FL MGUARD RS (ohne eingebau­tes Modem), mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD BLADE, mGuard delta (Innominate):

Konfiguration wie oben für Externes Modem (siehe „Externes Modem“ auf Seite 196).

Eingebautes Modem (ISDN)

Erste MSN

Bei ausgehenden Rufen überträgt der mGuard die hier einge­tragene MSN (Multiple Subscriber Number) zur angerufenen Gegenstelle. Außerdem ist der mGuard unter dieser MSN für eingehende Anrufe erreichbar (sofern Einwahl ermöglicht ist, siehe Registerkarte Allgemein).

Max. 25 Ziffern/Zeichen; folgende Sonderzeichen können verwendet werden: *, #, : (Doppelpunkt)

Zweite MSN

Soll der mGuard für Einwahl (sofern ermöglicht) zusätzlich unter einer anderen Nummer erreichbar sein, tragen Sie hier eine zweite MSN ein.

ISDN-Protokoll

In Deutschland und vielen anderen europäischen Länder wird das ISDN-Protokoll EuroISDN verwendet, auch NET3 ge­nannt.

Ansonsten ist länderspezifisch festgelegt, welches ISDN-Pro­tokoll benutzt wird. Muss gegebenenfalls bei der zuständigen Telefongesellschaft erfragt werden

Layer-2-Protokoll

Das Regelwerk, über das sich der ISDN-Terminaladapter des lokalen mGuard mit seiner ISDN-Gegenstelle verständigt. Das ist im Allgemeinen das ISDN-Modem des Internet Service Providers, über das die Verbindung ins Internet hergestellt wird. Muss beim Internet Service Provider erfragt werden. Sehr häufig wird PPP/ML-PPP verwendet.

Nur TC MGUARD RS4000 3G, TC MGUARD RS2000 3G (nur Konsole), FL MGUARD RS4004, FL MGUARD RS4000/RS2000, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD RS, FL MGUARD SMART2, FL MGUARD DELTA (nicht FL MGUARD SMART 533/266, FL MGUARD PCI(E)4000, FL MGUARD BLADE, mGuard delta (Innominate).

Serielle Konsole

Baudrate

9600 / 19200 / 38400 / 57600 (Standard) / 115200

(Standard FL MGUARD GT/GT: 38400)

Über die Auswahlliste wird festgelegt, mit welcher Übertra­gungsgeschwindigkeit die serielle Schnittstelle arbeiten soll.

Hardware-Handshake RTS/CTS

Aus / Ein

Bei Ein findet eine Flusssteuerung durch RTS- und CTS-Sig­nale statt.

Serielle Konsole über USB

(Nur FL MGUARD SMART2)

Bei deaktivierter Funktion nutzt der FL MGUARD SMART2 den USB-Anschluss ausschließlich zur Stromversorgung.

Bei aktivierter Funktion stellt der FL MGUARD SMART2 zu­sätzlich über die USB-Schnittstelle eine serielle Schnittstelle für den angeschlossenen Rechner zur Verfügung. Auf dem Rechner kann mit Hilfe eines Terminal-Programmes auf die serielle Schnittstelle zugegriffen werden. Über die serielle Schnittstelle stellt der FL MGUARD SMART2 eine Konsole zur Verfügung, die dann im Terminal-Programm genutzt wer­den kann.

Um die serieller Konsole über USB zu benutzen, benötigen Sie unter Windows einen speziellen Treiber. Dieser kann di­rekt vom mGuard heruntergeladen werden.

Serieller USB-Treiber (Windows)

(Nur FL MGUARD SMART2)

Klicken Sie auf die Schaltfläche „Lade Windows-Treiber von diesem Gerät herunter“, um den Windows-Treiber herunter­zuladen.

COM-Server

(Nur bei mGuard-Plattformen mit seri­eller Schnittstelle)

Die mGuard-Plattformen mit serieller Schnittstelle verfügen ab Firmware 8.0 über einen integrierten COM-Server. Dieser ermöglicht einen Datenaustausch der seriellen Schnitt­stelle über eine IP-Verbindung.

Es stehen drei Optionen zur Verfügung.

–RFC 2217 (Telnet-Server, konform zur RFC 2217).

In diesem Modus kann die serielle Schnittstelle über eine Client-Software im Netz­werk konfiguriert werden. Der Telnet-Server ist unter dem Port erreichbar, der unter „Lokaler Port“ definiert wird.

–RAW-Client

In diesem Modus initiiert der mGuard eine Verbindung zu der Adresse, die unter „IP-Adresse der Gegenstelle“  eingestellt wird. Die Verbindung läuft über den Port, der unter „Remote-Port“ konfiguriert wird.

Die Schnittstelle kann hier konfiguriert werden („Serielle Parameter“ ). Für die Baud­rate und den Hardware-Handshake werden die Einstellungen der seriellen Konsole genutzt (siehe „Externes Modem“ unter „Netzwerk >> Serielle Schnittstelle >> Mo­dem“ ).

–RAW-Server

Verhält sich wie der RAW-Client. Allerdings antwortet der RAW-Server auf eingehende Verbindungen unter dem Port, der unter „Lokaler Port“ konfiguriert ist.

Typ

Hier kann ausgewählt werden, in welcher Ausprägung der COM-Server agieren soll.

Möglich sind: RFC 2217, RAW-Client, RAW-Server.

IP-Adresse der Gegen­stelle

(Nur bei Typ RAW-Client)

Standard: 10.1.0.254

Definiert die IP-Adresse der Gegenstelle.

Lokaler Port

(Nur bei Typ RFC 2217 und RAW-Server)

Standard: 3001

Definiert, auf welchem Port der COM-Server reagieren soll.

Werte: 1 – 65535.

Remote-Port

(Nur bei Typ RAW-Client)

Standard: 3001

Definiert, an welchen Port der RAW-Client die Daten sendet.

Werte: 1 – 65535.

Über VPN

(Nur bei Typ RAW-Client)

Die Anfrage des COM-Servers wird, wenn möglich, über einen VPN-Tunnel durchgeführt.

Bei aktivierter Funktion wird die Kommunikation mit dem Ser­ver immer dann über einen verschlüsselten VPN-Tunnel ge­führt, wenn ein passender VPN-Tunnel verfügbar ist.

Bei deaktivierter Funktion oder wenn kein passender VPN-Tunnel verfügbar ist, wird der Verkehr unverschlüsselt über das Standard-Gateway gesendet.

Serielle Parameter

Definiert die Paritäts- und Stopbits der seriellen Schnittstelle.

Unterstützte Paketlängen der seriellen Schnittstelle: 8 Bit / 7 Bit.

–8 Bits (7 Bits), 1 Stopbit, keine Parität (Standard mit 8 Bit)

–8 Bits (7 Bits), 1 Stopbit, gerade Parität

–8 Bits (7 Bits), 1 Stopbit, ungerade Parität

–8 Bits (7 Bits), 2 Stopbits, keine Parität

–8 Bits (7 Bits), 2 Stopbits, gerade Parität

–8 Bits (7 Bits), 2 Stopbits, ungerade Parität

Erlaubte Netzwerke für den COM-Server

Um einen nicht-autorisierten Zugriff auf den COM-Server zu verhindern, können Zugriffs­regeln für den COM-Server definiert werden.

Die Standardregel lässt keine Zugriffe über das externe Interface zu.

Von IP

0.0.0.0/0 bedeutet alle IP-Adressen.

Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Interfaces

Intern / Extern / Extern 2 / DMZ / VPN / GRE / Einwahl

Schnittstelle, für die diese Regel angewendet werden soll.

Aktion

Annehmen bedeutet, dass die Datenpakete passieren dür­fen.

Abweisen bedeutet, dass die Datenpakete zurückgewiesen werden. Der Absender erhält eine Information über die Zu­rückweisung.

Verwerfen bedeutet, dass die Datenpakete nicht passieren dürfen. Der Absender erhält keine Information über deren Ver­bleib.

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede Firewall-Regel können Sie festlegen, ob beim Greifen der Regel das Ereignis protokolliert werden soll.

Port Mirroring

(Nur bei TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4004)

Port-Mirroring-Emp­fänger

Der integrierte Switch beherrscht das Port-Mirroring, um den Netzwerkverkehr zu beobachten. Dabei können Sie entschei­den, welche Ports Sie beobachten wollen. Der Switch schickt dann Kopien von Datenpaketen der beobachteten Ports an einen dafür ausgewählten Port.

Die Port-Mirroring-Funktion ermöglicht es, beliebige Pakete an einen bestimmten Empfänger weiterzuleiten. Sie können den Empfänger-Port oder die Spiegelung der ein- und ausge­hende Pakete von jedem Switch-Port auswählen.

MAU-Konfiguration

(Nicht bei TC MGUARD RS2000 3G, TC MGUARD RS2000 4G)

Konfiguration und Statusanzeige der Ethernet-Anschlüsse:

Port

Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht.

Medientyp

Medientyp des Ethernet-Anschlusses.

Automatische Konfi­guration

Aktiviert: Versucht die benötigte Betriebsart automatisch zu ermitteln.

Deaktiviert: Verwendet die vorgegebene Betriebsart aus der Spalte „Manuelle Konfiguration“

Manuelle Konfigura­tion

Die gewünschte Betriebsart, wenn Automatische Konfigu­ration deaktiviert ist.

Aktuelle Betriebsart

Die aktuelle Betriebsart des Netzwerkanschlusses.

Port an

Schaltet den Ethernet-Anschluss auf Ein oder Aus.

Die Funktion Port an wird nicht unterstützt vom mGuard centerport (Innominate), FL MGUARD CENTERPORT.

Die Funktion Port an wird mit Einschränkung unterstützt von:

mGuard delta (Innominate): hier lässt sich die interne Seite (Switch-Ports) nicht abschalten.

FL MGUARD PCI 533/266: hier lässt sich im Treibermodus die interne Netzwerkschnittstelle nicht abschalten (wohl aber im Power-over-PCI-Modus).

Link-Überwachung

Ist nur sichtbar, wenn unter Verwaltung >> Service I/O >> Alarmausgang der Unterpunkt „Link-Überwachung“  auf „Überwachen“ steht.

Bei einer Link-Überwachung wird der Alarmausgang geöffnet, wenn ein Link keine Konnektivität aufweist.

Port Mirroring

Die Port Mirroring-Funktion ermöglicht es, beliebige Pakete an einen bestimmten Empfänger weiterzuleiten. Sie können den Empfänger-Port oder die Spiegelung der ein- und ausge­hende Pakete von jedem Switch-Port auswählen.

Auflösung der MAC-Adres­sen

(Nur bei TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4004)

Port

Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht.

MAC-Adressen

Liste der MAC-Adressen der angeschlossenen ethernetfähi­gen Geräte.

Der Switch kann MAC-Adressen lernen, die zu den Ports sei­nes angeschlossenen ethernetfähigen Geräte gehören. Der Inhalt der Liste kann über die Schaltfläche „Leeren“ gelöscht werden.

Port-Statistik

(Nur bei TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4004)

Für jeden physikalisch erreichbaren Port des integrierten Managed Switch wird eine Sta­tistik angezeigt. Der Zähler kann über die Web-Oberfläche oder diesen Befehl zurückge­setzt werden:

/Packages/mguard-api_0/mbin/action switch/reset-phy-counters

Port

Name des Ethernet-Anschlusses, auf welchen sich die Zeile bezieht.

TX-Kollisionen

Anzahl der Fehler beim Senden der Daten

TX-Oktette

Gesendetes Datenvolumen

RX-FCS-Fehler

Anzahl an empfangenen Frames mit ungültiger Prüfsumme

RX-gültige Oktette

Volumen der empfangene gültigen Daten

Nur verfügbar beim TC MGUARD RS4000 3G, TC MGUARD RS4000 4G, FL MGUARD RS4004.

Statische Multicast-Gruppen

Statische Multicast-Gruppen

Multicast ist eine Technologie, die es ermöglicht, Daten an eine Gruppe von Empfängern zu versenden, ohne dass diese vom Sender mehrmals versendet werden müssen. Die Daten­vervielfältigung erfolgt durch die Verteiler innerhalb des Net­zes.

Sie können eine Liste mit Multicast-Gruppen-Adressen er­stellen. Die Daten werden an die konfigurierten Ports (LAN1 ... LAN5) weitergeleitet.

Allgemeine Multicast-Konfiguration

IGMP-Snooping

Durch IGMP-Snooping garantiert der Switch, dass Multicast-Daten nur über Ports weitergeleitet werden, die für diese An­wendung vorgesehen sind.

IGMP-Snoop-Aging

Zeitraum, nach dem die Zugehörigkeit zu der Multicast-Gruppe gelöscht wird in Sekunden.

IGMP-Anfrage

Eine Multicast-Gruppe wird über IGMP an- und abgemeldet. Hier kann die Version von IGMP ausgewählt werden (Version v3 wird nicht unterstützt)

IGMP-Anfrage-Intervall

Abstand, in dem IGMP-Anfragen erzeugt werden in Sekunden

Multicast-Gruppen

Anzeige der Multicast-Gruppen. Die Anzeige enthält alle statischen Einträge und die dy­namischen Einträge, die durch IGMP-Snooping entdeckt werden.

ARP-Timeout

ARP-Timeout

Lebensdauer der Einträge in der ARP-Tabelle.

Die Eingabe kann aus Sekunden [ss], Minuten und Sekunden [mm:ss] oder Stunden, Minuten und Sekunden [hh:mm:ss] bestehen.

In der ARP-Tabelle werden MAC- und IP-Adressen einander zugeordnet.

MTU-Einstellungen

MTU des ... Interface

Die Maximum Transfer Unit (MTU) beschreibt die maximale IP-Paketlänge, die beim betreffenden Interface benutzt wer­den darf.

Bei VLAN-Interface gilt:

Network Address Transla­tion/IP-Masquerading

Listet die festgelegten Regeln für NAT (Network Address Translation) auf.

Das Gerät kann bei ausgehenden Datenpaketen die in ihnen angegebenen Absender-IP-Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben, eine Technik, die als NAT (Network Address Translation) bezeichnet wird (siehe auch NAT (Network Address Translation) im Glossar).

Diese Methode wird z. B. benutzt, wenn die internen Adressen extern nicht geroutet wer­den können oder sollen, z. B. weil ein privater Adressbereich wie 192.168.x.x oder die in­terne Netzstruktur verborgen werden sollen.

Die Methode kann auch dazu genutzt werden, um externe Netzwerkstrukturen den inter­nen Geräten zu verbergen. Dazu können Sie unter Ausgehend über Interface die Aus­wahl Intern einstellen. Die Einstellung Intern ermöglicht die Kommunikation zwischen zwei separaten IP-Netzen, bei denen die IP-Geräte keine (sinnvolle) Standard-Route bzw. differenziertere Routing-Einstellungen konfiguriert haben (z. B. SPSsen ohne ent­sprechende Einstellung). Dazu müssen unter 1:1-NAT die entsprechenden Einstellungen vorgenommen werden.

Dieses Verfahren wird auch IP-Masquerading genannt.

Werkseinstellung: Es findet kein NAT statt.

Ausgehend über Inter­face

Intern / Extern / Extern 2 / DMZ / Alle Externen¹

Gibt an, über welches Interface die Datenpakete ausgehen, damit sich die Regel auf sie bezieht. Mit Alle Externen sind die Interfaces Extern und Extern 2 gemeint

Es wird eine Maskierung definiert, die im Router-Modus für Netzwerk-Datenströme gilt. Diese Datenströme werden so initiiert, dass sie zu einem Zielgerät führen, das über die aus­gewählte Netzwerkschnittstelle des mGuards erreichbar ist.

Dafür ersetzt der mGuard in allen zugehörigen Datenpaketen die IP-Adresse des Initiators durch eine geeignete IP-Adresse der ausgewählten Netzwerkschnittstelle. Die Wirkung ist ana­log zu den anderen Werten derselben Variablen. Dem Ziel des Datenstroms bleibt die IP-Adresse des Initiators verbor­gen. Insbesondere benötigt das Ziel keine Routen, nicht ein­mal eine Standard-Route (Standard-Gateway), um in so einem Datenstrom zu antworten.

Von IP

0.0.0.0/0 bedeutet, alle internen IP-Adressen werden dem NAT-Verfahren unterzogen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Namen von IP-Gruppen, sofern definiert. Bei Angabe eines Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 290).

Kommentar

Kann mit kommentierendem Text gefüllt werden.

1:1-NAT

Listet die festgelegten Regeln für 1:1-NAT (Network Address Translation) auf.

Bei 1:1-NAT werden die Absender-IP-Adressen so ausgetauscht, dass jede einzelne gegen eine bestimmte andere ausgetauscht wird, und nicht wie beim IP-Masquerading gegen eine für alle Datenpakete identische. So wird ermöglicht, dass der mGuard die Ad­ressen des realen Netzes in das virtuelle Netz spiegeln kann.

Beispiel:

Der mGuard ist über seinen LAN-Port an Netzwerk 192.168.0.0/24 angeschlossen, mit seinem WAN-Port an Netzwerk 10.0.0.0/24. Durch das 1:1-NAT lässt sich der LAN-Rech­ner 192.168.0.8 im virtuellen Netz unter der IP-Adresse 10.0.0.8 erreichen.

Der mGuard beansprucht die für „Virtuelles Netzwerk“ angegebenen IP-Adressen für die Geräte in seinem „Realen Netzwerk“. Der mGuard antwortet stellvertretend für die Geräte aus dem „Realen Netzwerk“ mit ARP-Antworten zu allen Adressen aus dem angegebe­nen „Virtuellen Netzwerk“. Die unter „Virtuelles Netzwerk“ angegebenen IP-Adressen müssen frei sein. Sie dürfen nicht für andere Geräte vergeben oder gar in Benutzung sein, weil sonst im virtuellen Netzwerk ein IP-Adressenkonflikt entsteht. Dies gilt selbst dann, wenn zu einer oder mehreren IP-Adressen aus dem angegebenen „Virtuellen Netzwerk“ gar kein Gerät im „Realen Netzwerk" existiert.

Werkseinstellung: Es findet kein 1:1-NAT statt.

Reales Netzwerk

Die reale IP-Adresse des Clients, der aus einem anderen Netz über die virtuelle IP-Adresse erreichbar sein soll (je nach Sze­nario am LAN, WAN oder DMZ-Port).

Je nach Netzmaske können ein oder mehrere Clients erreich­bar sein.

Ab mGuard-Firmware 8.0.0 ist 1:1-NAT zwischen allen Inter­faces möglich (LAN <–> WAN, LAN <–> DMZ, DMZ <–> WAN).

Virtuelles Netzwerk

Die virtuelle IP-Adresse, über die die Clients aus dem anderen Netz erreichbar sind (je nach Szenario am LAN, WAN oder DMZ-Port).

Ab mGuard-Firmware 8.0.0 ist 1:1-NAT zwischen allen Inter­faces möglich (LAN <–> WAN, LAN <–> DMZ, DMZ <–> WAN).

Netzmaske

Die Netzmaske als Wert zwischen 1 und 32 für die lokale und externe Netzwerkadresse (siehe auch „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

ARP aktivieren

Bei aktivierter Funktion werden ARP-Anfragen an das virtuelle Netzwerk stellvertretend vom mGuard beantwortet. Somit können Hosts, die sich im realen Netzwerk befinden, über ihre virtuelle Adresse erreicht werden.

Bei deaktivierter Funktion bleiben ARP-Anfragen an das virtu­elle Netzwerk unbeantwortet. Hosts im realen Netzwerk sind dann nicht erreichbar.

Kommentar

Kann mit kommentierendem Text gefüllt werden.

¹Extern 2 und Alle Externen nur bei Geräten mit serieller Schnittstelle: TC MGUARD RS4000/RS2000 3G,TC MGUARD RS4000/RS2000 4G , FL MGUARD RS4004/RS2005, FL MGUARD RS4000/RS2000, mGuard centerport (Innominate), FL MGUARD CENTERPORT, FL MGUARD RS, FL MGUARD BLADE, FL MGUARD DELTA, mGuard delta (Innominate) (siehe „Sekundäres externes Interface“ auf Seite 158).

IP- und Port-Weiterleitung

Listet die festgelegten Regeln zur Port-Weiterleitung (DNAT = Destination-NAT) auf.

Bei IP- und Port-Weiterleitung geschieht Folgendes: Der Header eingehender Datenpa­kete aus dem externen Netz, die an die externe IP-Adresse (oder eine der externen IP-Adressen) des mGuards sowie an einen bestimmten Port des mGuards gerichtet sind, werden so umgeschrieben, dass sie ins interne Netz an einen bestimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden. D. h. die IP-Adresse und Port-Nummer im Header eingehender Datenpakete werden geändert.

Die IP- und Port-Weiterleitung aus dem internen Netz erfolgt analog zum oben beschrie­benen Verhalten.

Protokoll: TCP / UDP / GRE

Geben Sie hier das Protokoll an, auf das sich die Regel bezie­hen soll.

GRE

IP-Pakete des GRE-Protokolls können weitergeleitet werden. Allerdings wird nur eine GRE-Verbindung zur gleichen Zeit un­terstützt. Wenn mehr als ein Gerät GRE-Pakete an die selbe externe IP-Adresse sendet, kann der mGuard möglicherweise Antwortpakete nicht korrekt zurückleiten. Wir empfehlen, GRE-Pakete nur von bestimmten Sendern weiterzuleiten. Das können solche sein, für deren Quelladresse eine Weiterlei­tungsregel eingerichtet ist, indem im Feld „Von IP“ die Ad­resse des Senders eingetragen wird, zum Beispiel 193.194.195.196/32.

Von IP

Absenderadresse, für die Weiterleitungen durchgeführt wer­den sollen.

0.0.0.0/0 bedeutet alle Adressen. Um einen Bereich anzuge­ben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Namen von IP-Gruppen, sofern definiert. Bei Angabe des Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 290).

Von Port

Absenderport, für den Weiterleitungen durchgeführt werden sollen.

any bezeichnet jeden beliebigen Port.

Er kann entweder über die Port-Nummer oder über den ent­sprechenden Servicenamen angegeben werden, z. B. pop3 für Port 110 oder http für Port 80.

Namen von Portgruppen, sofern definiert. Bei Angabe des Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 290).

Eintreffend auf IP

–Geben Sie hier die externe IP-Adresse (oder eine der ex­ternen IP-Adressen) des mGuards an, oder

–geben Sie hier die interne IP-Adresse (oder eine der inter­nen IP-Adressen) des mGuards an, oder

–verwenden Sie Variable: %extern (wenn ein dynami­scher Wechsel der externen IP-Adresse des mGuards er­folgt, so dass die externe IP-Adresse nicht angebbar ist).

Die Angabe von %extern bezieht sich bei der Verwen­dung von mehreren statischen IP-Adressen für den WAN-Port immer auf die erste IP-Adresse der Liste.

Eintreffend auf Port

Original-Ziel-Port, der in eingehenden Datenpaketen angege­ben ist.

Er kann entweder über die Port-Nummer oder über den ent­sprechenden Servicenamen angegeben werden, z. B. pop3 für Port 110 oder http für Port 80.

Beim Protokoll „GRE“ ist diese Angabe irrelevant. Sie wird vom mGuard ignoriert.

Weiterleiten an IP

IP-Adresse, an die die Datenpakete weitergeleitet werden sol­len und auf die die Original-Zieladressen umgeschrieben wird.

Weiterleiten an Port

Port, an den die Datenpakete weitergeleitet werden sollen und auf den die Original-Port-Angaben umgeschrieben werden.

Er kann entweder über die Port-Nummer oder über den ent­sprechenden Servicenamen angegeben werden, z. B. pop3 für Port 110 oder http für Port 80.

Beim Protokoll „GRE“ ist diese Angabe irrelevant. Sie wird vom mGuard ignoriert.

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede einzelne Port-Weiterleitungs-Regel können Sie fest­legen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll - Funktion Log akti­vieren

–oder nicht - Funktion Log deaktivieren (werkseitige Vor­einstellung).

DNS

Soll der mGuard von sich aus eine Verbindung zu einer Gegenstelle aufbauen (zum Bei­spiel VPN-Gateway oder NTP-Server) und wird ihm diese in Form eines Hostnamens an­gegeben (d. h. in der Form www.example.com), dann muss der mGuard ermitteln, wel­che IP-Adresse sich hinter dem Hostnamen verbirgt. Dazu nimmt er Verbindung zu einem Domain Name Server (DNS) auf, um dort die zugehörige IP-Adresse zu erfragen. Die zum Hostnamen ermittelte IP-Adresse wird im Cache gespeichert, damit sie bei weiteren Hostnamensauflösungen direkt, d. h. schneller gefunden werden kann.

Durch die Funktion Lokale Auflösung von Hostnamen kann der mGuard außerdem so konfiguriert werden, dass er selber DNS-Anfragen für lokal verwendete Hostnamen be­antwortet, indem er auf ein internes, zuvor konfiguriertes Verzeichnis zugreift.

Die lokal angeschlossenen Clients können (manuell oder per DHCP) so konfiguriert wer­den, dass als Adresse des zu benutzenden DNS-Servers die lokale Adresse des mGuards verwendet wird.

Wird der mGuard im Stealth-Modus betrieben, muss bei den Clients die Management IP-Adresse des mGuards verwendet werden (sofern diese konfiguriert ist), oder es muss die IP-Adresse 1.1.1.1 als lokale Adresse des mGuards angegeben werden.

DNS Cache Status

Status der Auflösung des Hostnamens

Benutzte DNS-Server

DNS-Server, bei denen die zugehörige IP-Adresse erfragt wurde.

Zu benutzende Name­server

DNS-Root-Nameserver

Anfragen werden an die Root-Nameserver im Internet gerich­tet, deren IP-Adressen im mGuard gespeichert sind. Diese Adressen ändern sich selten.

Provider-definiert (d. h. via PPPoE oder DHCP)

Es werden die DNS-Server des Internet Service Providers (ISP) benutzt, der den Zugang zum Internet zur Verfügung stellt. Wählen Sie diese Einstellung nur dann, wenn der mGuard im PPPoE-, im PPTP-, Modem-Modus oder im Router-Modus mit DHCP arbeitet.

Ab mGuard-Firmwareversion 8.6.0 kann die Einstellung ebenfalls verwendet werden, wenn der mGuard sich im Stealth-Modus (Automatisch) befindet. In diesem Fall wird der DNS-Server, den der Client verwendet, erkannt und über­nommen.

Benutzerdefiniert (unten stehende Liste)

Ist diese Einstellung gewählt, nimmt der mGuard mit den DNS-Servern Verbindung auf, die in der Liste Benutzerdefi­nierte DNS-Server aufgeführt sind.

Benutzerdefinierte DNS-Server

(Nur wenn als Nameserver Benutzer­definiert ausgewählt wurde)

In dieser Liste können Sie die IP-Adressen von DNS- Servern erfassen. Sollen diese vom mGuard benutzt werden, muss oben unter Zu benutzende Nameserver die Option „Be­nutzerdefiniert (unten stehende Liste)“ eingestellt sein.

Lokale Auflösung von Host­namen

Sie können zu verschiedenen Domain-Namen jeweils mehrere Einträge mit Zuordnungs­paaren von Hostnamen und IP-Adressen konfigurieren.

Sie haben die Möglichkeit, Zuordnungspaare von Hostnamen und IP-Adressen neu zu definieren, zu ändern (editieren) und zu löschen. Ferner können Sie für eine Domain die Auflösung von Hostnamen aktivieren oder deaktivieren. Und Sie können eine Domain mit all ihren Zuordnungspaaren löschen.

Tabelle mit Zuordnungspaaren für eine Domain anlegen:

•Eine neue Zeile öffnen und in dieser auf das Icon  Zeile bearbeiten klicken.

Zuordnungspaare, die zu einer Domain gehören, ändern oder löschen:

•In der betreffenden Tabellenzeile auf das Icon  Zeile bearbeiten klicken.

Nach Klicken auf Zeile bearbeiten wird die Registerkarte für DNS-Einträge ange­zeigt:

Domain der Hosts

Der Name kann frei vergeben werden, muss aber den Regeln für die Vergabe von Domain-Namen folgen. Wird jedem Host­namen zugeordnet.

Aktiv

Aktiviert oder deaktiviert die Funktion Lokale Auflösung von Hostnamen für die im Feld „Domain-Name“ angegebene Do­main.

Auch IP-Adressen auf­lösen

Deaktiviert: Der mGuard löst nur Hostnamen auf, d. h. liefert zu Hostnamen die zugeordnete IP-Adresse.

Aktiviert: Wie bei „Deaktiviert“. Zusätzlich ist es möglich, für eine IP-Adresse die zugeordneten Hostnamen geliefert zu be­kommen.

Hostnamen

Die Tabelle kann beliebig viele Einträge aufnehmen.

Host

Hostname

TTL (hh:mm:ss)

Abkürzung für Time To Live. Standard: 3600 Sekunden (1:00:00)

Gibt an, wie lange abgerufene Zuordnungspaare im Cache des abrufenden Rechners gespeichert bleiben dürfen.

IP

Die IP-Adresse, die dem Hostnamen in dieser Tabellenzeile zugeordnet wird.

DynDNS

Zum Aufbau von VPN-Verbindungen muss mindestens die IP-Adresse eines der Partner bekannt sein, damit diese miteinander Kontakt aufnehmen können. Diese Bedingung ist nicht erfüllt, wenn beide Teilnehmer ihre IP-Adressen dynamisch von ihrem Internet Ser­vice Provider zugewiesen bekommen. In diesem Fall kann aber ein DynDNS-Service wie z. B. DynDNS.org oder DNS4BIZ.com helfen. Bei einem DynDNS-Service wird die je­weils gültige IP-Adresse unter einem festen Namen registriert.

Wenn Sie für einen vom mGuard unterstützten DynDNS-Service registriert sind, können Sie in diesem Dialogfeld die entsprechenden Angaben machen.

Beachten Sie beim Einsatz von TC MGUARD RS4000/RS2000 3G, TC MGUARD RS4000/RS2000 4G, dass DynDNS nicht von allen Mobilfunk-Providern zugelassen wird.

Den mGuard bei einem DynDNS-Ser­ver anmelden

Aktivieren Sie die Funktion, wenn Sie beim DynDNS-Anbieter entsprechend registriert sind und der mGuard den Service be­nutzen soll. Dann meldet der mGuard die aktuelle IP-Adresse, die gerade dem eigenen Internet-Anschluss vom Internet Ser­vice Provider zugewiesen ist, an den DynDNS-Service.

Abfrageintervall (Sekunden)

Standard: 420 (Sekunden). Immer wenn sich die IP-Adresse des eigenen Internet-Anschlusses ändert, informiert der mGuard den DynDNS-Service über die neue IP-Adresse. Zusätz­lich kann diese Meldung in dem hier festgelegten Zeitintervall erfolgen. Bei einigen DynDNS-Anbietern wie z. B. DynDNS.org hat diese Einstellung keine Wirkung, da dort ein zu häufiges Melden zur Löschung des Accounts führen kann.

DynDNS-Anbieter

Die zur Auswahl gestellten Anbieter unterstützen das Proto­koll, das auch der mGuard unterstützt. Wählen Sie den Namen des Anbieters, bei dem Sie registriert sind, z. B. DynDNS.org, TinyDynDNS, DNS4BIZ.

Wenn Ihr Anbieter nicht in der Liste enthalten ist, wählen Sie DynDNS-compatible und tragen Sie Server und Port für die­sen Anbieter ein.

DynDNS-Server

Nur sichtbar, wenn unter DynDNS-Anbieter DynDNS-com­patible eingestellt ist.

Name des Servers des DynDNS-Anbieters.

DynDNS-Port

Nur sichtbar, wenn unter DynDNS-Anbieter DynDNS-com­patible eingestellt ist.

Nummer des Ports des DynDNS-Anbieters.

DynDNS-
Benutzerkennung

Geben Sie hier die Benutzerkennung ein, die Ihnen vom DynDNS-Anbieter zugeteilt worden ist.

DynDNS-Passwort

Geben Sie hier das Passwort ein, das Ihnen vom DynDNS-An­bieter zugeteilt worden ist.

DynDNS-Hostname

Der für diesen mGuard gewählte Hostname beim DynDNS-Service – sofern Sie einen DynDNS-Dienst benutzen und oben die entsprechenden Angaben gemacht haben.

Unter diesem Hostnamen ist dann der mGuard erreichbar.

Der DHCP-Server funktioniert auch im Stealth-Modus.

Im Multi-Stealth-Mode kann der externe DHCP-Server des mGuards nicht genutzt wer­den, wenn eine VLAN ID als Management IP zugewiesen ist.

IP-Konfiguration bei Windows-Rechnern: Wenn Sie den DHCP-Server des mGuards starten, können Sie die lokal angeschlossenen Rechner so konfigurieren, dass sie ihre IP-Adressen automatisch per DHCP vom mGuard zugeteilt bekommen.

Die Einstellungen für Internes DHCP und Externes DHCP sind prinzipiell identisch und werden im Folgenden nicht getrennt beschrieben.

Modus

DHCP-Modus

Deaktiviert / Server / Relay

Setzen Sie diesen Schalter auf Server, wenn der mGuard als eigenständiger DHCP-Server arbeiten soll. Dann werden unten auf der Registerkarte entsprechende Einstellmöglich­keiten eingeblendet (siehe „DHCP-Modus: Server“ ).

Setzen Sie ihn auf Relay, wenn der mGuard DHCP-Anfragen an einen anderen DHCP-Server weiterleiten soll. Dann wer­den unten auf der Registerkarte entsprechende Einstellmög­lichkeiten eingeblendet (siehe „DHCP-Modus: Relay“ ).

Wenn der Schalter auf Deaktiviert steht, beantwortet der mGuard keine DHCP-Anfragen.

DHCP-Modus: Server

Ist als DHCP-Modus Server ausgewählt, werden unten auf der Seite entsprechende Ein­stellmöglichkeiten wie folgt eingeblendet.

DHCP-Server-Optionen

Dynamischen IP-Adresspool aktivieren

Bei aktivierter Funktion wird der durch DHCP-Bereichsanfang bzw. DHCP-Bereichsende angegebenen IP-Adresspool ver­wendet (siehe unten).

Deaktivieren Sie die Funktion, wenn nur statische Zuweisun­gen anhand der MAC-Adressen vorgenommen werden sollen (siehe unten).

DHCP-Lease-Dauer

Zeit in Sekunden, für die eine dem Rechner zugeteilte Netz­werkkonfiguration gültig ist. Kurz vor Ablauf dieser Zeit sollte ein Client seinen Anspruch auf die ihm zugeteilte Konfigura­tion erneuern. Ansonsten wird diese u. U. anderen Rechnern zugeteilt.

DHCP-Bereichsanfang

(Bei aktiviertem dynamischen IP-Adresspool)

Anfang Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

DHCP-Bereichsende

(Bei aktiviertem dynamischen IP-Adresspool)

Ende des Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

Lokale Netzmaske

Legt die Netzmaske der Rechner fest. Voreingestellt ist: 255.255.255.0

Broadcast-Adresse

Legt die Broadcast-Adresse der Rechner fest.

Standard-Gateway

Legt fest, welche IP-Adresse beim Rechner als Standard-Ga­teway benutzt wird. In der Regel ist das die interne IP-Adresse des mGuards.

DNS-Server

Adresse des Servers, bei dem Rechner über den Domain Name Service (DNS) Hostnamen in IP-Adressen auflösen las­sen können.

Wenn der DNS-Dienst des mGuards genutzt werden soll, dann die interne IP-Adresse des mGuards angeben.

WINS-Server

Adresse des Servers, bei dem Rechner über den Windows In­ternet Naming Service (WINS) Hostnamen in Adressen auflö­sen können.

Statische Zuordnung

MAC-Adresse des Cli­ents

Die MAC-Adresse Ihres Rechners finden Sie wie folgt her­aus:

Windows 95/98/ME:

•Starten Sie winipcfg in einer DOS-Box.

Windows NT/2000/XP/:

•Starten Sie ipconfig /all in einer Eingabeaufforderung. Die MAC-Adresse wird als „Physikalische Adresse“ ange­zeigt.

Linux:

•Rufen Sie in einer Shell /sbin/ifconfig oder ip link show auf.

Bei den Angaben haben Sie folgende Möglichkeiten:

–MAC-Adresse des Clients/Rechners (ohne Leerzeichen oder Bindestriche).

–IP-Adresse des Clients

IP-Adresse des Clients

Die statische IP-Adresse des Rechners, die der MAC-Ad­resse zugewiesen werden soll

.

Aktuelle Leases

Die aktuell vom DHCP-Server vergebenen Leases werden mit MAC-Adresse, IP-Adresse und Ablaufdatum (Timeout) angezeigt.

DHCP-Modus: Relay

Ist als DHCP-Modus Relay ausgewählt, werden unten auf der Seite entsprechende Ein­stellmöglichkeiten wie folgt eingeblendet.

DHCP-Relay-Optionen

DHCP-Server, zu denen weitergeleitet werden soll

Eine Liste von einem oder mehreren DHCP-Servern, an wel­che DHCP-Anfragen weitergeleitet werden sollen.

Füge Relay-Agent-Information (Option 82) an

Beim Weiterleiten können zusätzliche Informationen nach RFC 3046 für die DHCP-Server angefügt werden, an welche weitergeleitet wird.

Modus

Aktiviere DHCP-Server auf dem DMZ-Port

Aktiviert den DHCP-Server auf dem DMZ-Interface.

Bei deaktivierter Funktion beantwortet der mGuard keine DHCP-Anfragen auf dem DMZ-Interface.

DHCP-Server-Optionen

Dynamischen IP-Adresspool aktivieren

Bei aktivierter Funktion wird der durch DHCP-Bereichsanfang bzw. DHCP-Bereichsende angegebenen IP-Adresspool ver­wendet (siehe unten).

Deaktivieren Sie die Funktion, wenn nur statische Zuweisun­gen anhand der MAC-Adressen vorgenommen werden sollen (siehe unten).

DHCP-Lease-Dauer

Zeit in Sekunden, für die eine dem Rechner zugeteilte Netz­werkkonfiguration gültig ist. Kurz vor Ablauf dieser Zeit sollte ein Client seinen Anspruch auf die ihm zugeteilte Konfigura­tion erneuern. Ansonsten wird diese u. U. anderen Rechnern zugeteilt.

DHCP-Bereichsanfang

(Bei aktiviertem dynamischen IP-Adresspool)

Anfang Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

DHCP-Bereichsende

(Bei aktiviertem dynamischen IP-Adresspool)

Ende des Adressbereichs, aus dem der DHCP-Server des mGuards den lokal angeschlossenen Rechnern IP-Adressen zuweisen soll.

Lokale Netzmaske

Legt die Netzmaske der Rechner fest. Voreingestellt ist: 255.255.255.0

Broadcast-Adresse

Legt die Broadcast-Adresse der Rechner fest.

Standard-Gateway

Legt fest, welche IP-Adresse beim Rechner als Standard-Ga­teway benutzt wird. In der Regel ist das die interne IP-Adresse des mGuards.

DNS-Server

Adresse des Servers, bei dem Rechner über den Domain Name Service (DNS) Hostnamen in IP-Adressen auflösen las­sen können.

Wenn der DNS-Dienst des mGuards genutzt werden soll, dann die interne IP-Adresse des mGuards angeben.

WINS-Server

Adresse des Servers, bei dem Rechner über den Windows In­ternet Naming Service (WINS) Hostnamen in Adressen auflö­sen können.

Statische Zuordnung

MAC-Adresse des Cli­ents

Die MAC-Adresse Ihres Rechners finden Sie wie folgt her­aus:

Windows 95/98/ME:

•Starten Sie winipcfg in einer DOS-Box.

Windows NT/2000/XP/:

•Starten Sie ipconfig /all in einer Eingabeaufforderung. Die MAC-Adresse wird als „Physikalische Adresse“ ange­zeigt.

Linux:

•Rufen Sie in einer Shell /sbin/ifconfig oder ip link show auf.

Bei den Angaben haben Sie folgende Möglichkeiten:

–MAC-Adresse des Clients/Rechners (ohne Leerzeichen oder Bindestriche).

–IP-Adresse des Clients

IP-Adresse des Clients

Die statische IP-Adresse des Rechners, die der MAC-Ad­resse zugewiesen werden soll

.

Aktuelle Leases

Die aktuell vom DHCP-Server vergebenen Leases werden mit MAC-Adresse, IP-Adresse und Ablaufdatum (Timeout) angezeigt.

HTTP(S) Proxy-Einstellun­gen

Proxy für HTTP und HTTPS benutzen

Bei aktivierter Funktion gehen Verbindungen, bei denen das Protokoll HTTP oder HTTPS verwendet wird, über einen Proxy-Server, dessen Adresse und Port ebenfalls festzulegen sind.

Verbindungen, die mittels der Funktion VPN-TCP-Kapselung gekapselt übertragen werden, werden ebenfalls über den Proxy-Server geleitet (siehe „TCP-Kapselung“ auf Seite 331).

Sekundäres externes Interface benutzt Proxy

Aktivieren Sie die Funktion nur, wenn die Verbindung (HTTP oder HTTPS) des sekundären externen Interfaces ebenfalls über einen Proxy-Server hergestellt werden soll (siehe „Se­kundäres externes Interface“ auf Seite 158).

HTTP(S)-Proxy-Server

Hostname oder IP-Adresse des Proxy-Servers

Port

Nummer des zu verwendenden Ports, z. B. 3128

Proxy-Authentifizierung

Login

Benutzerkennung (Login) zur Anmeldung beim Proxy-Server

Passwort

Passwort zur Anmeldung beim Proxy-Server

Dieses Menü steht nur zur Verfügung, wenn sich der mGuard im Netzwerkmodus „Rou­ter“ befindet. Im Router-Modus „DHCP“ kann dem WAN-Interface keine OSPF-Area zu­gewiesen werden.

Aktivierung

OSPF aktivieren

Bei deaktivierter Funktion (Standard): OSPF ist auf dem Gerät deaktiviert.

Bei aktivierter Funktion: Das dynamische Routing über das OSPF-Protokoll ist auf dem Gerät aktiviert. Neue Routen wer­den von benachbarten OSPF-Routern gelernt und weiterver­breitet.

OSPF-Hostname

Wenn an dieser Stelle ein OSPF-Hostname vergeben wird, wird dieser den teilnehmenden OSPF-Routern anstelle des globalen Hostnamens mitgeteilt.

Router-ID

Die Router-ID im Format einer IP-Adresse muss innerhalb des autonomen Systems eindeutig sein. Sie kann ansonsten frei gewählt werden und entspricht üblicherweise der IP-Ad­resse der WAN- oder LAN-Schnittstelle des mGuards.

OSPF-Areas

Über OSPF-Areas wird das autonome System segmentiert. Innerhalb einer Area werden die Routen zwischen OSPF-Routern ausgetauscht. Der mGuard kann Mitglied in einer oder mehreren OSPF-Areas sein. Eine Weiterverbreitung zwischen benachbarten Areas über die sogenannte „Transition Area“ ist ebenfalls möglich (siehe unten).

Name

Der Name ist frei wählbar (Standard: ID). Die eigentliche Iden­tifizierung eines OSPF-Routers erfolgt anhand seiner ID.

ID

Die ID ist prinzipiell frei wählbar. Wird einer OSPF-Area die ID 0 zugewiesen, wird sie damit zur „Transition Area“. Über diese werden Routing-Informationen zwischen zwei benach­barten Areas ausgetauscht und in diesen weiterverbreitet.

Stub-Area

Wenn es sich bei der OSPF-Area um eine Stub-Area handelt, aktivieren Sie die Funktion.

Authentifizierung

Kein / Simple / Digest

Die Authentifizierung des mGuards innerhalb der OSPF-Area kann über die Methoden „Simple“ oder „Digest“ erfolgen. Die entsprechenden Passwörter bzw. Digest-Keys werden jeweils für die zugeordneten Interfaces vergeben (siehe „Zusätzliche Interface- Einstellungen“ ).

Zusätzliche Interface- Ein­stellungen

Interface

Intern / Extern / DMZ

Wählt das Interface aus, für das die Einstellungen gelten. Werden an dieser Stelle keine Einstellungen vorgenommen, gelten die Standard-Einstellungen (d. h. OSPF ist für das In­terface aktiv und die Passwörter sind nicht vergeben).

Passives Interface

Standard: deaktiviert

Bei deaktivierter Funktion werden OSPF-Routen durch das In­terface gelernt und weiterverbreitet.

Bei aktivierter Funktion werden Routen weder gelernt noch weiterverbreitet.

Authentifizierung 

Kein / Digest

Ist Digest ausgewählt, wird an dem ausgewählten Interface – unabhängig von der einer OSPF-Area bereits zugewiesenen Authentifizierungsmethode – immer mit „Digest“ authentifi­ziert.

Die Authentifizierungsmethode (Kein / Simple / Digest), die bereits einer OSPF-Area zugewiesen wurde, wird dabei über­gangen und nicht verwendet.

Passwort Simple-Authentifizierung

Passwort zur Authentifizierung des OSPF-Routers (bei Au­thentifizierungsmethode „Simple“)

Digest-Key

Digest-Key zur Authentifizierung des OSPF-Routers (bei Au­thentifizierungsmethode „Digest“)

Digest-Key-ID 

Digest-Key-ID zur Authentifizierung des OSPF-Routers (bei Authentifizierungsmethode „Digest“)

(1–255)

Routen-Weiterverbreitung

Statisch in der Routingtabelle des Kernels eingetragene Routen können ebenfalls über OSPF weiterverbreitet werden. Es können Regeln für lokal verbundene und über Gate­way erreichbare Netze angelegt werden.

Die Netze, deren Routen über OSPF weiterverbreitet werden sollen, können über die „Distributions-Einstellungen“ in den sogenannten „Access-Listen“ festgelegt werden.

Typ

Lokal verbundene Netze / Über Gateway erreichbare Netze

Lokal verbundene Netze: Alle lokalen Netze werden per OSPF weiterverbreitet, wenn OSPF aktiviert ist. Eine Ein­schränkung der Weiterverbreitung kann über Access-Listen erfolgen.

Über Gateway erreichbare Netze: Alle externen Netze wer­den per OSPF weiterverbreitet. Zu den externen Netzen ge­hören z. B. statische sowie IPsec-, OpenVPN- und GRE-Re­mote-Netze. Eine Einschränkung der Weiterverbreitung kann über Access-Listen erfolgen.

Metrik

Metrik, mit der die Routen weiterverbreitet werden. Numeri­sches Maß für die Güte einer Verbindung bei Verwendung einer bestimmten Route (abhängig von Bandbreite, Hop-An­zahl, Kosten und MTU).

Access-Liste

Verbreitet die Routen entsprechend der ausgewählten Ac­cess-Liste weiter (siehe „Distributions-Einstellungen“ ). Ist Kein ausgewählt, werden alle Routen des ausgewählten Typs weiterverbreitet.

Dynamische Routen (über OSPF gelernt)

Der Status aller über OSPF gelernten Routen wird angezeigt.

Remote-Netz

Dynamisch gelerntes Remote-Netz.

Gateway 

Gateway zum Erreichen des Remote-Netzes.

Metrik

Die Metrik der gelernten Route.

Ist eine Regel für einen der beiden Typen „Lokal verbundene Netze“ und „Über Gateway erreichbare Netze“ ausgewählt, werden standardmäßig (Access-Liste = Kein) alle ent­sprechenden Routen über OSPF weiterverbreitet, wenn OSPF aktiviert ist.

Einstellungen

Name

Der Name muss eindeutig sein, darf also nicht doppelt verge­ben werden.

Zuordnungen

Zulassen/Ablehnen

Listet die Access-Listen-Regeln auf. Diese gelten für nicht dy­namisch über OSPF verbreitete Routen.

Zulassen (Standard) bedeutet, die Route zu dem eingetrage­nen Netzwerk wird über OSPF weiterverbreitet.

Ablehnen bedeutet, die Route zum eingetragenen Netzwerk wird nicht über OSPF weiterverbreitet.

Netzwerk

Netzwerk, dessen Weiterverbreitung per Regel zugelassen oder abgelehnt wird.

Die Verwendung von GRE-Tunneln über IPsec-Verbindungen des Verbindungstyps „Transport“ ist nicht möglich.

Optionen

Lokaler Endpunkt

Lokale IP-Adresse, von der aus der GRE-Tunnel aufgebaut wird. Die IP-Adresse muss bereits unter „Netzwerk >> Interfa­ces“  für den mGuard selbst konfiguriert sein.

Remote-Endpunkt

Remote-IP-Adresse, zu der der GRE-Tunnel aufgebaut wird. Die IP-Adresse muss ebenfalls auf der Gegenstelle konfigu­riert werden.

IPsec-VPN-Verbin­dung zur Absicherung des Tunnels verwen­den

Für die ausgewählte IPsec-Verbindung wird geprüft, ob der GRE-Tunnel durch diese geroutet und damit geschützt wird, d. h. ob beide Endpunkte innerhalb der IPsec-Netze (Lokal und Remote) liegen.

Routen in den Tunnel

Netzwerk

Alle Netzwerke der Gegenstelle, die gekapselt über den GRE-Tunnel erreicht werden sollen, werden an dieser Stelle einge­tragen. Es können mehrere Routen für jeden GRE-Tunnel konfiguriert werden.

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Bereich anzu­geben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Dynamisches Routing

OSPF-Area

Verknüpft das virtuelle GRE-Interface mit einer OSPF-Area (siehe „Netzwerk >> Dynamisches Routing“ auf Seite 233).

OSPF-Metrik

Numerisches Maß für die Güte einer Verbindung durch den GRE-Tunnel.

Lokale IP-Adresse des Interface

IP-Adresse des virtuellen GRE-Interface (wird für den Aus­tausch von Routing-Informationen zwischen OSPF-Routern benötigt).

Auf der Gegenstelle muss entsprechend eine IP-Adresse im gleichen Netz für das GRE-Interface konfiguriert werden.

Lokale Netzmaske des Interface

Netzmaske des virtuellen GRE-Interface.

Die GRE-Firewall ist werkseitig so voreingestellt, dass für die GRE-Verbindung alles zu­gelassen ist.

Für jede einzelne GRE-Verbindung gelten aber unabhängig voneinander gleichwohl die erweiterten Firewall-Einstellungen, die weiter oben definiert und erläutert sind (siehe „Me­nü Netzwerksicherheit“ auf Seite 273, „Netzwerksicherheit >> Paketfilter“ auf Seite 273, „Erweitert“ auf Seite 293).

Wenn mehrere Firewall-Regeln gesetzt sind, werden diese in der Reihenfolge der Einträ­ge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann angewandt. Falls in der Regelliste weitere passende Regeln vorhanden sind, wer­den diese ignoriert.

Eingehend

Allgemeine Firewall Einstellung

Alle eingehenden Verbindungen annehmen, die Datenpa­kete aller eingehenden Verbindungen werden angenommen.

Alle eingehenden Verbindungen verwerfen, die Datenpa­kete aller eingehenden Verbindungen werden verworfen.

Nur Ping zulassen, die Datenpakete aller eingehenden Ver­bindungen werden verworfen, mit Ausnahme der Ping-Pakete (ICMP).

Wende das unten angegebene Regelwerk an, blendet weitere Einstellmöglichkeiten ein.

Die folgenden Einstellungen sind nur sichtbar, wenn „Wende das unten angegebene Regelwerk an“ eingestellt ist.

Protokoll

Alle bedeutet: TCP, UDP, ICMP, GRE und andere IP-Proto­kolle.

Von IP / Nach IP

0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Bereich anzu­geben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30).

Namen von IP-Gruppen, sofern definiert. Bei Angabe eines Namens einer IP-Gruppe werden die Hostnamen, IP-Adres­sen, IP-Bereiche oder Netzwerke berücksichtigt, die unter die­sem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 290).

Eingehend:

–Von IP:   die IP-Adresse im GRE-Tunnel

–Nach IP   die 1:1-NAT-Adresse bzw. die reale Ad­resse

Ausgehend:

–Von IP:   die 1:1-NAT-Adresse bzw. die reale Ad­resse

–Nach IP:   die IP-Adresse im GRE-Tunnel

Von Port / Nach Port

(Nur bei den Protokollen TCP und UDP)

any bezeichnet jeden beliebigen Port.

startport:endport (z. B. 110:120) bezeichnet einen Portbe­reich.

Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben: (z. B. 110 für pop3 oder pop3 für 110).

Namen von Portgruppen, sofern definiert. Bei Angabe eines Namens einer Portgruppe werden die Ports oder Portbereiche berücksichtigt, die unter diesem Namen gespeichert sind (siehe „IP- und Portgruppen“ auf Seite 290).

Aktion

Annehmen bedeutet, die Datenpakete dürfen passieren.

Abweisen bedeutet, die Datenpakete werden zurückgewie­sen, so dass der Absender eine Information über die Zurück­weisung erhält.

Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verschluckt, so dass der Absender keine Informa­tion über deren Verbleib erhält.

Namen von Regelsätzen, sofern definiert. Bei Angabe eines Namens für Regelsätze treten die Firewall-Regeln in Kraft, die unter diesem Namen konfiguriert sind (siehe „Regelsätze“ auf Seite 284).

Namen von Modbus-TCP-Regelsätzen, sofern definiert. Bei der Auswahl eines Modbus-TCP-Regelsatzes treten die Firewall-Regeln in Kraft, die unter diesem Regelsatz konfigu­riert sind (siehe „Modbus TCP“ auf Seite 298).

Kommentar

Ein frei wählbarer Kommentar für diese Regel.

Log

Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel

–das Ereignis protokolliert werden soll – Funktion Log akti­vieren

–oder nicht – Funktion Log deaktivieren (Default-Einstel­lung).

Log-Einträge für unbe­kannte Verbindungs­versuche

Bei aktivierter Funktion werden alle Verbindungsversuche protokolliert, die nicht von den voranstehenden Regeln erfasst werden.

Ausgehend

Die Erklärung unter „Eingehend“ gilt auch für „Ausgehend“.