Hardware

Ab FW 10.50 verhält sich die Action Tabelle beim Verbindungsaufbau anders!
Ein "gerne" gemachter Fehler dabei ist, daß das IPv6-Modul eingeschaltet ist, obwohl es nicht genutzt wird.
FW 10.60 - keine VPN-Netzwerkbeziehungen (SA) mehr in der Firewall, nur noch in VPN / Allgemein / Netzwerkregeln 
FW 10.70 - geringe Änderungen an der Firewall, neu: VPN-Mash

LCF-Datei enthält MIB-OID-Struktur.
Diese Struktur funktioniert auch über SSH/CLI, aber statt der Punkte muss ein Slash verwendet werden (Bsp: cd 2/12/1)

Default IP (wenn kein DHCP vorhanden)
Switch: 172.23.56.250 oder 251, Router: 172.23.56.254

Management-Protokolle:
- SSH unbedingt auf VPN beschränken
- möglichst alle Protokolle beschränken

Automat. Neustart per Cron-Job

do /Other/Cold-Boot - Neustart (Kaltstart) des Routers
do /Other/Boot-System - Neustart (Warmstart) des Routers
do /o/m/d T-DSLBIZ - Neustart der DSL-Verbindung

Felder Wochentage, Monatstage und Monate leer lassen, wenn dieser Befehl immer ausgeführt werden soll.
Nur Echtzeit + Abweichung + Minuten + Stunden eintragen.

 

DEFAULT Verbindungs-Parameter nicht löschen!
siehe unten VPN IPSec Lancom Tips

DNS-Auflösung und Domänenanbindung für Außenstellen über VPN-Tunnel:

- am Serverstandort:
- DNS-Server und -Weiterleitung im Router aktivieren.
- eigene Domäne eintragen,
- Weiterleitung: *.[Domäne] -> als Gegenstelle IP-Adressen der DNS-Server.

- am Außenstandort:
- DNS-Server und -Weiterleitung im Router aktivieren.
- keine eigene Domäne eintragen,
- Weiterleitung: *.[Domäne] -> VPN-Gegenstelle.

 

Telnet/Putty/SSH
PING vom entfernten Router senden:
PING [IP-Adresse] -c 10 (-a a.b.c.d = setzte Absendeadresse des PING)
PING [IP-Adresse] -r  (-r = Traceroute-Mode)

Events: Status->Config->Event-Log
Fehler / IDs lassen sich direkt über ID erreichen, führende 1 weg lassen (1.2.19.36.3.1.2 -> cd \2\19\36\3\1\2)
default -r setzt aktuelle Ebene und alle Unterebenen auf Defaultwerte. Bei Aufruf in der Hauptebene entspricht das beinahe einem Werksreset.
ls st/voice/call-counter - listet aktuell laufende Anrufe
ls /st/acc/curr - listet aktuelle User
dir status/vdsl/connection - zeigt DSL Verbindungsfehler
show jobs - zeigt Auslastung der Prozesse

Fehlersuche:
show job - zeigt Prozesse und Auslastung

VPN Fehlersuche per SSH-Konsole:
show vpn cert - listet die vorhandenen Zertifikate
trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
trace + vpn packet

Mail-Benachrichtigung
 In Telnet testen
- "trace + smtp" - SMTP-Trace einschalten
- "testmail <ABSENDER> <EMPFÄNGER> <AbsenderName> <Betreffzeile> <Haupttext>" - Testmail senden
* Verbindungsfehler: Kommunikation -> Aktionstabelle
mailto:mail@domain.net?subject=BETREFFZEILE_DER_MAIL(Abbruch DSL um %t)?body=INHALT_DER_MAIL DSL Verbindung gestört um %t.
  Verbindungsereignis= Ereignis Abbruch mit Fehler.
  Gegenstelle= entsprechende Gegenstelle.
* Firewall -> IDS / DoS -> E-Mail Nachricht senden

Mail hängt beim Test: Puffer löschen mit  do /Status/Mail/Clear-Buffer
Der Router löscht den Puffer sonst erst beim Neustart! Bei Fehlersuche sehr wichtig.

Konfiguration Router hinter Router:
1. WEB-Konfiguration des ersten Routers öffnen
2. HTTP-Tunnel von diesem Gerät zu anderem Gerät im Zielnetz aufbauen

Lancom hinter anderem Router:
- Port 161 TCP+UDP forwarden für Lancom Monitor
- Port 443 TCP forwarden für Management (ggf. anpassen: Management -> Admin -> Einstellungen)

SIP von Fritzbox o.ä. über Lancom Router frei geben: Sonstige Dienste -> Dienste -> SIP-ALG aktivieren
Damit arbeitet der Router als SIP-Proxy. Der Call-Manager muß nicht aktiviert sein.

VoiceCallManager (VCM): VCM / Erweitert / QoS: "Reduktion der PMTU" raus schmeißen.
Das sind alte Relikte, die mehr Schaden als Nutzen bringen.

SNMP: LanMonitor nimmt AES256 mit SHA256, Benutzername root

Tagging
Schnittstellen-TAGs trennen die Netze und müssen per Firewall-Regel zusammen geführt werden.
Wenn es eine Route mit dem gleichen Tag wie dem Schnittstellen-Tag gibt, so wird diese genutzt. Gibt es keine Route mit dem gleichen Tag wird die Route mit Tag 0 genutzt.
TAG-0 in einer Firewall-Regel bedeutet, dass das eventuell vorhandene Schnittstellen-TAG nicht verändert wird.

Routing vs. Bridge Mode
Im Bridge Mode (default) kann man an den jeweiligen Interfaces und Switches Geräte im selben IP Netz betreiben, ohne dass die Firewall das blocken kann.
Im Routing Mode (besser) kann man zwischen den Netzen mit Firewallregeln routen.

Routing zu weiteren Netzen über zweiten lokalen Router
- Routingtabelle im Default Gateway Router anlegen
- ICMP Redirect (alt: Pakete im lokalen Netz übertragen) anhaken! (asymetrisches Routing, Pakete laufen über Router1-> Router2, Antwortpakete nicht)

VPN
Lancom Router können IPSec IKE v.1 und v.2, L2TP und PPTP.
R&S Firewalls können IPSec IKE v.1 und v.2, SSL-VPN (Open-VPN)
siehe auch:
• VPN IPSec Lancom Tips: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1238
• VPN zu Android: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• VPN Lancom zu MikroTik Router: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1425
• VPN mit Zertifikaten: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393
• Adv.VPN Client für Windows lizenzieren: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1376
• VPN über Router hinweg: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1111
• Zertifikate ausrollen an mehrere Router, hier sind alle Mountpoints: https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/scp_file_transfer_mountpoints.html

Zugriff für VPN-Gegenstellen einschränken:
• VPN-Clients (IKE v1/v2): VPN-Regelerzeugung, IPv4-Regel (Einschränken auf Subnet oder Station)
• VPN-Netze: Firewallregel
  Prio 2: bei Bedarf individuell Stationen erlauben: Accept-VPN - Quelle: VPN-Gegenstelle(n), Verbindungsziel: freizugebende Ziel-IP(s)
  Prio 1: Alle VPN-Gegenstellen verbieten: Reject-VPN - je eine Regel (Out und In) für Quelle und Ziele
• VPN-Netze: Netzwerkbeziehungen (SA)
  VPN / IKev2 / Verbindungsliste der VPN Verbindung / Regelerzeugung = manuell
  VPN / Allgemein / Regel: eigene Netzwerkbeziehung erstellen

VLAN mit Lancom Routern und Switchen: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1346

Quellen und Links:

(FAQ)

APC USVs kennen 2 unterschiedliche Modulslots!
Passende Größe beachten (12.1 x 3.8 mm oder 2.5 x 4.7 mm).

  • APC UPS mit SNMP-Modul können Powerchute Network Shutdown (kostenlos) nutzen
  • APC Smart-UPS können Powerchute Business (kostenlos) nutzen
  • APC Back-UPS können nur Powerchute Personal Edition, nicht für Server

APC Back-UPS erlauben teilweise keinen Akku-Tausch mehr!
(Akkuwechsel nur in der Fachwerkstatt, Wechselakku kostet ungefähr das Gleiche wie das ganze Gerät)

Tuya-Geräte sind ESP8266MOD WiFi/Zigbee- Smart-Geräte von Shenzhen Xenon.
WLAN geht nur im 2.4 GHz Netz, Zigbee ist aktuelle Version 3.0.
RESET-Taste auf der Geräteunterseite.

Der Tuya-Adapter in ioBroker arbeitet nicht lokal mit batteriebetriebenen Geräten.
https://www.npmjs.com/package/iobroker.tuya
Diese Geräte gehen nur mit Tuya IoT Platform MQTT.

Tuya-Adapter einrichten über SmartLife Cloud funktioniert. (Reset -> rote LED blinkt -> App Gerät hinzu fügen über WLAN)
(Einrichtung über Tuya-App funktioniert auch, aber es kommen keine Geräte im ioBroker.)
Steuerung mit SmartLive App ist besser, arbeitet mit Alexa oder Google Assist und ioBroker.

ioBroker: Tuya-Adapter über Smartlife-Cloud, Adapter neu starten liest neue Geräte ein)
SmartLife App kompatible Geräte: https://smart-leuchten.de/smart-life-app-kompatible-geraete/

Geräte:

  • Zigbee-Gateway
    - Tuya Wired Gateway (DMD2CC): Gateway-IP ist sofort sichtbar, hat aber kein Webserver
    - Einbindung über SmartLife App geht problemlos
    - alle Geräte werden in Smartlife direkt und als Untergerät des Gateways angezeigt
    - als Gateway-Untergerät erscheinen Historiekurven und Programmierpläne
  • Tuya-Thermometer
  • Tuya-Heizkörperthermostat
    - komfortabler Wochenplan über das Gateway
    - im Unterschied zu anderen Thermostaten werden die Werte lückenlos an Smarthome übertragen
  • Gosund Steckdosen


Endlich gibt mal ein Hersteller zu, dass DRM nur der Kundengängelei dient.
Wenn auch unfreiwilllig.

Mit dem sogenannten Digital Rights Management (DRM) verhindern Hersteller und Produzenten, dass legitime Kunden die von ihnen gekauften Produkte so verwenden können, wie sie wollen.

O-Ton Canon: "Aufgrund der weltweit anhaltenden Knappheit an Halbleiterkomponenten steht Canon derzeit vor Herausforderungen bei der Beschaffung bestimmter elektronischer Komponenten, die in unseren Verbrauchsmaterialien für unsere Multifunktionsdrucker (MFP) verwendet werden. Diese Komponenten führen z. B. Funktionen wie die Erkennung des verbleibenden Tonerstands aus."

Canon liefert Toner ohne ihr eigenes "Kopierschutzsystem" aus und muß dazu noch offen legen, wie man dieses umgeht. Inzwischen sind diese Informationen von der offiziellen Webseite wieder verschwunden.

Die Details findet man in webarchive.org oder auf meiner FAQ.




PCs • Server • Netzwerktechnik • Peripheriegeräte
Betriebssysteme • Anwendungssoftware • Branchenlösungen
Individualsoftware • Speziallösungen • Softwareverteilung
Installation • Wartung • Reparatur • Schulung

 

Meine IT - FAQ (links im Menue) dient in erster Linie als eigenes Nachschlagewerk.
Außerdem ist sie eine Refernz für unsere Arbeit.
Und vielleicht hilft sie auch Ihnen.

 



Die baramundi Management Suite unterstützt die zentrale und automatisierte Installation von Betriebssystemen, Applikationen und Patches, deren Wartung und Pflege, Lizenz- und Inventarmanagement sowie das Scripten von diversen Standardaufgaben.
PCs per Wake-on-LAN wecken, automatisch anmelden, Programme installieren, Windows- und Programmupdates, Verknüpfungen anlegen, Virenscans auf dem PC ausführen, PC wieder still legen ... spart enorm Zeit und Nerven!
» Installation, Administration, Anwenderschulung...



Lancom Systems GmbH ist ein deutscher Hersteller innovativer und sicherer Kommunikationslösungen in den Bereichen Secure Internet Access, VPN Network Connectivity und Wireless LAN.
Die Geräte sind modern, zeichnen sich durch hohe Zuverlässigkeit aus und besitzen eine sehr gute Systemoberfläche.
Als qualifizierter LANCOM- Fachhändler habe ich die Kompetenz.



Mit Teamviewer können wir unkompliziert Dateien austauschen, Bildschirminhalte und Programme zeigen oder direkt den anderen PC fernbedienen.
Keine Installation, keine Adminrechte notwendig. Das Programm arbeitet über Firewalls hinweg. Ihr PC benötigt lediglich eine Internetverbindung.
» Download TeamViewer 10 QuickSupport«



Bluechip Computer AG

Die Bluechip AG ist ein einheimischer, ostdeutscher Computerproduzent und seit 1992 am Markt.
Schnelle Lieferung und Service, individuelle Fertigung und kurze Wege sind ihr Plus.
Mit Bluechip - Computern setze ich auf eine einheimische Marke zum günstigen Preis.

Treiber für alle Bluechip-PC: http://www.pc-seriennummer.de



Das seamless Roaming funktioniert wirklich super und sucht in der Preisklasse seinesgleichen.
Die WLAN-Abstrahlung erfolgt stark richtungsabhängig.
Im 2.4 GHz-Band nutzt das Gerät 3 Funkkanäle, im 5 GHz-Band lediglich 1 (!) Kanal.
Außer WLAN verfügen die Geräte über eine ZigBee-Schnittstelle zur Homeautomatisation.
Die App ist gut, aber nichts geht ohne Google.



LCOS 9.20: BGP - intelligentes Routing
     IKE v2 VPN-Verschlüsselung
     DNS-Logging
     iPERF - Server zur Durchsatzmessung
     SNMP3



Netgear ist ein amerikanischer und weltweit operierender Anbieter von Netzwerklösungen wie Router, Switche, Wireless-LAN Produkten, Netzwerkkarten usw. mit einem guten Preis-Leistungs-Verhältnis.
Als PowerShift- Partner stehen mir der Service und das Wissen eines erfahrenen Global Player zur Verfügung.


 
- Seite: 1 -