Zentralinstitut für Angewandte Mathematik D-52425 Jülich, Tel.(02461) 61-6402 Informationszentrum, Tel. (02461) 61-6400 Technische Kurzinformation FZJ-ZAM-TKI-0396 J.Meißburger 1.11.2004

Installation eines WLAN-DSL-Routers

für ein Heimnetzwerk (Beispiel Siemens SE515 DSL)

Inhaltsverzeichnis:

1. Hardware-Installation

2. Ethernet-Verbindung zur Konfiguration des DSL-Routers einrichten

3. Konfiguration des Routers mit dem Webbrowser

1. Hardware-Installation

Die Nutzung von T-DSL setzt (derzeit noch) einen vorhandenen Telefon- oder ISDN-Anschluss voraus. Dieser steht im Haus in Form einer Telefon-Anschlussdose TAE mit einem (F für Fernsprecher) oder drei Anschlüssen (meist N, F, F) zur Verfügung. "F" steht für Fernsprecher/Telefon, "N" steht für Nebenanschlussgerät wie etwa Modem oder Anrufbeantworter. Als Minimalbeschaltung sind bei TAE stets die Kontakte 1 (b) und 2 (a) auf der Dose beschaltet. Dies entspricht von oben auf die Dose gesehen den beiden Kontakten links unten. Die Anschlüsse werden wie folgt ausgeführt, wobei RJ11 der "kleine" Westernstecker für Telefone, RJ45 der "große" Stecker für 10/100 Mbps Ethernet ist:

• Telefondose "Amt" (TAE) zu DSL-Splitter Buchse "Amt" (RJ11)
• Für Analog-Telefonanschluss:
      Telefonbuchse "F" (TAE) zum Analogtelefon (RJ11) oder zum analogen DECT-Schnurlostelefon (RJ11)
  Für ISDN-Telefonanschluss:
      Telefonbuchse "F" (TAE) zum ISDN-Abschluss NTBF (RJ11),
      von dort weiter wie bisher zum ISDN-Anschluss des PCs  bzw. zum ISDN-Telefon oder zur ISDN-Telefonanlage (RJ45),
      Steckernetzteil des NTBF und ggf. der Telefonanlage einstecken.
• Durch Abheben des Telefons bzw. durch Anruf einer eigenen ISDN-Nummer kurz testen, ob Telefon wie gewohnt funktioniert.
   
• Einen der Ethernetanschlüsse am DSL-Router (WLAN Access Point) über Ethernetkabel mit PC/Laptop verbinden (RJ45).
• Steckernetzteil des Routers einstecken und Router einschalten.
• PC hochfahren. Bei richtiger Konfiguration des Netzwerks sollte nach kurzer Zeit eine IP-Verbindung zum Router (Adresse 192.168.1.1) bestehen, über die der Router konfiguriert werden kann.
• Passwort für Routerkonfiguration setzen, Sicherheitseinstellungen für WLAN konfigurieren und Zugangsdaten des Providers für DSL konfigurieren.
• Routerkonfiguration abspeichern !
   
• DSL-Anschluss am Splitter (RJ11) mit DSL-Anschluss am Router verbinden (RJ11).
• Netzwerkverbindung zum Router mit "ping 192.168.1.1" testen.
• Netzwerkverbindung zum Internet-Provider durch Starten des Internet Explorers z.B. mit http://www.google.de testen.
   
• Falls dabei Probleme aufgetreten sind, zuerst den Router durch Ein/Ausschalten, danach den Rechner durch Herunterfahren und Neustart rebooten.

Die Gesamtkonfiguration sieht dann etwa wie folgt aus:

Aufgabe des Routers ist es, IP-Verkehr sowohl zwischen den lokalen Ethernet- als auch den WLAN-Anschlüssen (Wireless LAN=Funk-LAN), und mit Hilfe des integriertem DSL-Modems auch zwischen diesen und dem IP-Netz eines Internet-Providers wie etwa T-Online, Freenet oder GMX zu vermitteln. Dabei nimmt der Router auch Sicherheitsfunktionen wahr, die etwa den unerwünschten Zugriff auf lokale Rechner aus dem Internet durch ein Firewall oder die missbräuchliche Nutzung der WLAN-Verbindung durch Fremde durch Adressfilterung und  Datenverschlüsselung verhindern.

Sind alle Rechner in einer gemeinsamen Arbeitsgruppe und ist bei den Netzwerkeigenschaften für das (W)LAN die Funktion "Client für Microsoft Netzwerke" installiert, so können alle Rechner der Arbeitsgruppe untereinander und über den DSL-Router mit dem Internet kommunizieren.

2. Ethernet-Verbindung zur Konfiguration des DSL-Routers einrichten

Der DSL-Router verfügt im allgemeinen über 1 bis 4 Ethernet-Anschlüsse für RJ45-Stecker (LAN1...4). Über eine dieser Ethernetverbindungen wird der Router zweckmäßigerweise zum ersten Mal konfiguriert. Hierzu enthält der Router einen Webserver, so dass die Konfiguration mit Hilfe eines Browsers wie etwa dem Internet Explorer durchgeführt werden kann:

1. PC und Router (LAN1...LAN4) mit Ethernet-Kabel (2xRJ45) verbinden. PC einschalten, Router nicht eingeschaltet.
2. PC geeignetes Profil mit Ethernet aktivieren. Konfiguration Ethernet:
   • Netzwerkumgebung - RM - Eigenschaften -LAN-Verbindung - RM - Eigenschaften
   • Internetprotokoll (TCP/IP) auswählen - Eigenschaften

     Allgemein:

     • IP-Adresse automatisch beziehen
     • DNS-Serveradresse automatisch beziehen

     Alternative Konfiguration:

     • Automatisch zugewiesene, private IP-Adresse

     Erweitert:

     • Windows-Firewall aktivieren (falls kein anderes Firewall wie etwa Norton Personal Firewall installiert ist). Dies ist ein zusätzlicher Schutz zur Firewall des Routers (siehe unten), der auch die Kommunikation der lokalen Rechner untereinander einfach zu kontrollieren erlaubt, ohne die Konfiguration des Routers verändern zu müssen.
3. Netzteil zum Router einstecken und Router einschalten
   Nach kurzer Zeit sollte sich Windows mit dem Hinweis auf ein aktives Netzwerk melden (Symbol rechts unten im Systemtray).
4. IP-Verbindung zum Router in der DOS-Box überprüfen:
   • Start - Ausführen - cmd (= DOS-Box) - OK
   • und in der DOS-Box: "ipconfig /all"
      
   • Hier sollte jetzt für den Ethernet-Adapter eine IP-Adresse wie etwa 192.168.1.2 eingetragen sein. Das
     Standardgateway muss die Adresse des Routers, also 192.168.1.1 sein!
   • Bei dieser Gelegenheit werden auch die Physikalischen Adressen der verschiedenen Netzwerk-Interfaces (also etwa Ethernet und Drahtlose Netzwerkverbindung) im Format XX-XX-XX-XX-XX-XX angezeigt. Diese sollte man sich aufschreiben, um sie später in die Liste der vom Router zugelassenen Hardwareadressen einzutragen (MAC-Adresssicherheit).
   • IP-Verbindung zum Router überprüfen mit "ping 192.168.1.1"
5. Sollte die Verbindung nicht zustande kommen, zunächst einmal Router und anschließend den PC neu starten. Konfiguration nochmals mit "ipconfig" überprüfen.

3. Konfiguration des Routers mit dem Webbrowser

Zuallererst die Sicherheitseinstellungen vornehmen. Hierzu werden Passwörter und Schlüssel benötigt. Für sie gilt

Achtung: Bei allen Eingaben von Passwörtern oder Schlüsseln vorher überprüfen, dass nicht versehentlich die Shift-Taste gedrückt ist (überprüfen kann man das ganz einfach etwa mit  "Start - ausführen - cmd" und in der DOS-Box irgendwas oder das gewünschte Passwort eintippen).
Vergebene Passwörter sollten "gute" Passwörter sein, d.h:

• lang genug (12 Zeichen oder länger) sein,
• Ziffern und Buchstaben, wo möglich auch blank und Sonderzeichen enthalten (beim SE515 von Siemens geht das leider nicht!),
•  keine gängigen Begriffe aus dem Wörterbuch oder das Standardpasswort des Herstellers verwenden ("WLAN" oder "AccessPoint" sind sicher keine guten Passwörter!),
• keinen persönlichen Bezug (Vorname, Name, Adresse) aufweisen,
• für jede Funktion unterschiedlich sein.

Vergebene Passwörter sollte man gut verschlossen aufbewahren oder am besten gut verschlüsselt (etwa mit "PrivateCrypto") mit einem sehr guten Passwort, das nur für diesen einen Zweck benutzt wird, abspeichern (USB-Stick!).

Damit kann man die Konfiguration des Routers starten:

1. Beim Web-Konfigurationsdialog des Routers anmelden
   •  Internet-Explorer (IE) starten
   • Extras -Internet-Optionen - Sicherheit - Vertrauenswürdige Sites - Sites -
     Diese Website zur Hone hinzufügen - 192.168.1.1 - OK - OK
     (Hiermit werden aktive Inhalte für die Webseite des Routers zugelassen, ohne jedes Mal nachzufragen)
   • Extras - Internet-Optionen - Verbindungen
     Unter LAN-Einstellungen - Einstellungen - Proxyserver für LAN verwenden nicht aktivieren! - OK
   • Jetzt in der Adressleiste des IE die Webadresse des Routers eingeben: http://192.168.1.1
   • Es erscheint ein Anmeldedialog, Passwort ist zunächst meist "blank", in diesem Fall also einfach RETURN drücken. Damit ist man im Konfigurationsdialog des DSL-Routers.
      
2. Login-Passwort für den Web-Zugang des Routers setzen.
   • Dieses Passwort schützt den Zugang zur Konfiguration des Routers, so dass niemand diese unbefugt ändern, also etwa die Sicherheitseinstellungen außer Kraft setzen kann.
     Gutes Passwort wählen (beim SE515 ohne Sonderzeichen!) und sichern. Dieses Passwort wird später nur noch bei der Rekonfiguration des Routers, nicht aber beim normalen Betrieb benötigt!
      
3. Einen Namen für das WLAN (SSID) vergeben.
   • SSID ist ein beliebiger Name für das WLAN. Nur wer ihn kennt, kann sich mit dem WLAN verbinden. Dafür darf die SSID aber nicht sichtbar gemacht ("announced" oder "ge-broadcasted") werden. Als SSID irgendein langes Wort aus Buchstaben  und Ziffern, ohne Sonderzeichen außer "-" wählen, das keinen erkenntlichen Bezug zum Eigentümer des WLANs hat (beispielsweise so etwas wie "wlan-ssid-netz1").
   • SSID (Name des privaten Funknetzes) eintragen.
   • SSID auf "nicht sichtbar" einstellen.
   • Auf den PCs im WLAN muss die SSID dann von Hand konfiguriert werden:
     • Start - Systemsteuerung - Drahtlosnetzwerkkonfiguration - Weiter
     • Netzwerkname (SSID) eintragen

4. WEP Verschlüsselung einschalten.
   • WEP ist die ältere Verschlüsselung für WLANs (nicht absolut sicher, aber schon ein gewisses Hindernis für Gelegenheits-Hacker)
   • WEP-Schlüssel auf 128 Bit einstellen und passenden WEP-Schlüssel eingeben (am einfachsten ASCII mit genau 13 Zeichen/Sonderzeichen. Auch den WEP-Schlüssel wie das Passwort sichern!)
   • Der gleiche WEP-Schlüssel muss dann auf den PCs im WLAN von Hand eingetragen werden (siehe Eintrag für SSID)
      
5. WPA-Authentisierung und 802.1x-Zugriffsschutz zunächst nicht einschalten.
   • WPA ist ein WiFi-Zugriffsschutz, der nur von neueren Geräten unterstützt wird. Er dient der Authentisierung und Datenverschlüsselung nach einem komplexen Schlüsselverfahren. ("Preshared Key" für Hausgebrauch).
     Da ältere Geräte (z.B. billige USB-Sticks) dieses Verfahren meist nicht unterstützen, für den Anfang lieber erst mal WPA nicht aktivieren.
   • Das gleiche gilt für die im Hausgebrauch kaum realisierbare 802.1x Authentisierung.
   • Falls alle Geräte im lokalen Netz diese Standards unterstützen sollten (sehr unwahrscheinlich!), können sie später bei besonders hohem Schutzbedarf (?!) immer noch aktiviert werden.
      
6. MAC-Zugangskontrolle aktivieren.
   • Mit aktivierter MAC-Zugangskontrolle lässt der Router nur solche Rechner zu, deren physikalische Adressen ihm bekannt sind. Da diese Adressen (weltweit) vom Hardwarehersteller des Netzwerkinterfaces vergeben werden, bietet dieser Zugriffsschutz ein hohes Maß an Sicherheit.
   • Die MAC-Adresse des Konfigurationsrechners (nur das Ethernet-Interface!) ist dem Router ohnehin schon bekannt und kann einfach übernommen werden. Die Hardwareadresse des WLAN-Interfaces muß nach Installation des WLAN-Sticks ebenfalls noch eingetragen werden!
   • In die Liste der MAC-Adressen für die Zugangskontrolle die physikalischen Adressen aller bekannten Rechner (siehe "ipconfig /all") von Hand oder, falls die Rechner schon im Netz sind, automatisch durch Übernehmen eintragen.
   • MAC-Zugangskontrolle zum Schluß aktivieren
      
7. DHCP-Server konfigurieren
   • Die Clienten im eigenen, privaten Netz 192.168.x.x erhalten vom DHCP-Server des Routers automatisch ihre IP-Adressen im Bereich 192.168.1.2 ..... 192.168.1.254 mitgeteilt. Benötigt man für bestimmte Klienten eine feste IP-Adresse (etwa für eine spezielle Filterregel im Firewall) oder möchte man die Zahl der Rechner, die überhaupt eine IP-Adresse vom Router erhalten, auf die Zahl der tatsächlich im lokalen Netz betriebenen Rechner begrenzen, so läßt sich dies im "Erweiterten Setup - LAN - DHCP-Server"  einstellen.
   • Hierzu in DHCP die MAC-Adresse des Klienten und die gewünschte IP-Adresse eintragen. Wenn alle Rechner mit IP-Adressen aus einem zusammenhängenden IP-Bereich versorgt werden, kann der IP-Bereich für DHCP auf diesen Adressbereich beschränkt werden, so dass kein weiterer (illegaler) Rechner mehr automatisch eine Adresse erhält und alle Klienten mit festen IP-Adressen über das Firewall arbeiten können. Im folgenden Beispiel sind die Adressen für zam016 und jmpc01 festgelegt, während ein weiterer Rechner im LAN oder im WLAN automatisch die Adresse 192.168.1.2 erhalten wird.

8. DSL-Zugang einrichten
   • In der DSL-Konfiguration werden die Zugangsdaten des Internet Service Providers (ISP) eingetragen, die nach Abschluss eines Internet-Vertrags von diesem mitgeteilt werden. Es sind dies im wesentlichen eine Benutzerkennung und ein zugehöriges Passwort. Dieses muss und sollte nur dem Router-Verantwortlichen bekannt sein!
   • IP-Adresse (vom ISP) automatisch beziehen
   • Network Address Translation (NAT) aktivieren. Damit werden die lokalen, im Internet nicht sichtbaren 192.168.x.x-Adressen vom Router in den Adressraum des ISP übersetzt
   • PPP-Benutzernamen und Passwort für das Internet-Login eintragen (siehe ISP-Vertrag)

• Verbindung bei Bedarf mit Trennung nach 10 Minuten Leerlauf genügt auch bei Volumentarifierung, da der Verbindungsaufbau im allgemeinen sehr schnell erfolgt und für die Einwahl im allgemeinen keine Gebühren anfallen (Siehe ISP-Vertag!).

9. IP-Firewall aktivieren

• Das IP-Firewall schützt alle im Ethernet oder WLAN des Routers befindliche Rechner vor unerwünschten Zugriffen aus dem Internet. Mit IP-Filtern wird festgelegt, auf welche Anwendungen (Dienste) der lokalen Rechner vom Internet aus zugegriffen werden kann:

• "Ping Reply" deaktiviert macht die Rechner von aussen "unsichtbar" (ping)
• "IP Paket Filter" muss aktiviert sein, damit das Firewall funktioniert
• "Richtung des Datenverkehrs" sollte "Ausgehend" sein, d.h. alle Verbindungsanforderungen ins Internet werden automatisch zugelassen. Verbindungsanforderungen aus dem Internet, die nicht ihre Ursache in einem eigenen vorangegangenen Verbindungswunsch haben, werden automatisch abgeblockt.
• Will man auf bestimmte eigene Dienste wie etwa einen Webserver (IP-Port=80) von aussen Zugriff erlauben, so muss hierfür eine besondere Regel mit "Neue Filterregel hinzufügen" eingerichtet werden.
• Mit Hilfe einer zusätzlichen Regel kann auch ein bestimmter Rechner mit fester IP-Adresse (im Beispiel 192.168.1.3, siehe Punkt 7 DHCP) im eigenen Netz vollständig vom Internet abgetrennt werden.

Damit ist die Konfiguration abgeschlossen und die Verbindung zum Internet sollte funktionieren, sobald man etwa im Internet Explorer http://www.fz-juelich.de oder http://www.google.de eingibt.

Sollte es unerwartet Probleme geben, die Adresskonfiguration nochmals mit "ipconfig /all" (oder mit "winipcfg" auf älteren Systemen) überprüfen. Die lokale Adresskonfiguration kann auch ohne Reboot mit

• ipconfig /release
• ipconfig /renew

neu gesetzt werden. Dies hilft aber nur, wenn sonst alles richtig konfiguriert ist ;-)
 

Download als PDF: wlan-dsl.pdf

Forschungszentrum Jülich D-52425 Jülich

Zentralinstitut für Angewandte Mathematik (ZAM)

Information

1.11.2004 ZAM Dokumentation