Aktuelle Version vom 21. November 2023, 16:16 Uhr

Dieses Manual ist für folgende Varianten des CT-Router LTE gültig:

CT-Router 4-Port LTE CAT1, Artikelnummer: 620-00
CT-Router 4-Port LTE CAT1 + RS232, Artikelnummer: 620-10
CT-Router 4-Port LTE CAT1 + RS485, Artikelnummer: 620-20
CT-Router 4-Port LTE CAT4, Artikelnummer: 621-00
CT-Router 4-Port LTE CAT4 + RS232, Artikelnummer: 621-10
CT-Router 4-Port LTE CAT4 + RS485, Artikelnummer: 621-20
CT-Router 4-Port LTE 450, Artikelnummer: 667-00

Den "Installation Guide" zum CT-Router LTE finden Sie hier

Konfiguration über WBM (Web Based Management)

Die Konfiguration des Routers erfolgt über eine Webbrowser basierende Funktion. Hierfür müssen zunächst folgende Bedingungen erfüllt sein:

Der PC, der zur Konfiguration des Routers verwendet wird, verfügt über eine LAN-Schnittstelle.
Auf dem PC ist ein Webbrowser installiert (z.B. Google Chrome, Mozilla Firefox, Microsoft Internet Explorer).
Der Router ist mit einer Spannungsquelle verbunden.

Start der Konfiguration

1. Ethernet-Verbindung zwischen Computer und Router herstellen

2. Der Router hat im Auslieferungszustand die IP-Adresse 192.168.0.1 eingestellt und der DHCP-Server ist nicht aktiv. Stellen Sie sicher, dass sich Ihr Rechner im gleichen Subnetz wie der Router befindet, bzw. vergeben Sie an den Rechner eine entsprechende 192.168.0.xxx IP-Adresse im Subnetz 255.255.255.0

3. Webbrowser öffnen

4. Die IP-Adresse des Routers (Default: 192.168.0.1) in das Adressfeld des Browsers eingeben und mit Eingabe bestätigen. Anschließend wird eine Benutzername/Passwort-Abfrage erfolgen

Im Auslieferungszustand lautet der Benutzername „admin“ und das Passwort „admin“ (das Ändern des Passwortes wird im späteren Verlauf beschrieben).

User: Lesezugriff auf „Status und Device Information“

Admin: Lese- und Schreibzugriff auf alle Bereiche

Default Passwörter:

User: public

Admin: admin

Nach der Eingabe des Benutzernamens und des Passwortes öffnet sich das Hauptmenü zur Konfiguration des Routers.

Ist kein Passwort für den Benutzer admin gesetzt, so wird nach der Anmeldung immer die Seite „User setup“ zum Ändern des Passwortes angezeigt.

Device Information

In diesem Bereich können Sie genauere Informationen zur der Hardware sowie der installierten Software einsehen.

Hardware

Übersicht der Hardware und Firmware Release Version des CT-Router LTE sowie des Mobilfunk-Moduls.

Software

Tabellarische Übersicht der auf dem Routers verwendeten Software-Module (Auflistung in Abbildung nicht vollständig).

Status

In diesem Menü werden Ihnen aktuelle Status-Informationen zu dem Funk-Netz, den Netzwerkverbindungen und der I/O`s angezeigt.

Radio

Status >> Radio
Provider	Angabe bei welchem Provider eingebucht wurde
Networkstatus	Registered home: Einwahl im heimatlichen Mobilfunknetz Roaming: Einwahl in das Mobilfunknetz über einen fremden Provider Waiting for PIN: es ist noch keine PIN-Eingabe erfolgt Waiting for PUK: PIN wurde drei Mal falsch eingegeben, PUK erforderlich Wrong PIN: falsche PIN-Eingabe No SIM Card: es ist keine SIM-Karte vorhanden Power off: LTE-Modul nicht bereit
Signal Level	Signalstärke des Netzes ( von -51 bis 113 dBm)
Packet Data	offline: Paketdaten-Verbindung nicht aufgebaut GPRS online: Aktive Paketdaten-Verbindung, GPRS EDGE online: Aktive Paketdaten-Verbindung, EDGE UMTS online: Aktive Paketdaten-Verbindung, UMTS HSDPA/UPA online: Aktive Paketdaten-Verbindung, HSDPA/UPA LTE online: Aktive Paketdaten-Verbindung LTE
IMSI	SIM Code / Ziffer1 - 3 sind MCC (Ländercode) Ziffer 4, 5 MNC sind der Providercode
Local Area Code	Gebietskennzahl des Mobilfunknetzes (LAC)
Cell ID	Kennzahl der Mobilfunkzelle (CID)

Link zum Auffinden des Basisstandorts (Funksender) http://cellidfinder.com

Network Connections

Status >> Network Connections
Wireless Network
Link	TCP/IP connected: TCP/IP Verbindung im Mobilfunknetz aufgebaut VPN connected: VPN Verbindung im Mobilfunknetz aufgebaut not connected: Es besteht keine aktive Verbindung im Mobilfunknetz
IP Address	zugewiesene IP-Adresse (Providervorgabe)
Netmask	zugewiesene Netzmaske (Providervorgabe)
DNS Server	DNS-Server IP-Adresse
Sec. DNS Server	alternative DNS-Server IP-Adresse
Expires	Ablaufzeit der DHCP Adresse
Uptime	Verstrichenen Zeit seit dem letzten Neustart vom LTE_NG
RX Bytes	Anzahl der empfangenen Daten seit Login in das Mobilfunknetz in Bytes
TX Bytes	Anzahl der gesendeten Daten seit Login in das Mobilfunknetz in Bytes
Local Network
Link #1 bis #4	connected: Lokale Ethernet-Verbindung aufgebaut not connected: keine lokale Ethernet-Verbindung aufgebaut
IP-Address	Ethernet IP-Adresse des Routers
Netmask	Ethernet Netzmaske
IP address Alias(1)	Alias IP Adresse
Netmask Alias(1)	Subnetzmaske der Alias IP Adresse
IP Address	IPv6 IP-Adresse

IPsec Status

VPN >> IPsec >> Status
Remote Host	IP-Adresse oder URL der Gegenstelle
ISAKMP SA	Aktiv = grünes Feld Nicht aufgebaut = rotes Feld
IPSec SA	Aktiv = grünes Feld Nicht aufgebaut = rotes Feld

OpenVPN Status

Status >> OpenVPN status
Name	Name der VPN-Verbindung
Remote Host	IP-Adresse oder URL der Gegenstelle
Status	Aktiv = grünes Feld Nicht aufgebaut = rotes Feld

I/O Status

Übersicht Ein- und Ausgänge

Serial-COM

Status >> Serial-COM
Link	Enabled: Der COM-Port Server ist aktiviert Disabled Der COM-Port Server ist deaktiviert
TCP remote	Waiting: Warten auf Verbindungsaufbaus des Clients xxx.xxx.xxx.xxx Bei aktiver Verbindung Anzeige der IP-Adresse des COM-Port Clients
Baud rate, Data bits, Parity, Stop bits, Flow control	Einstellungen der seriellen Schnittstelle

Routing Table

Enthält unter anderem Informationen zum Ziel, Gateway, zur Subnetzmaske und Metrik.

DHCP Leases

Status >> DHCP Leases
Tabellarische Übersicht aller vom LTE_NG-Router vergebenen DHCP-Daten
Host Name	Hostname des im Netzwerk befindlichen Endgerätes
Client MAC Address	MAC-Adresse des im Netzwerk befindlichen Endgerätes
Client IP Address	IP-Adresse des im Netzwerk befindlichen Endgerätes

System info

Local Network

Im Menü „Local Network“ können Sie die lokale Netzwerkeinstellung für den LTE_NG Router vornehmen. Ihre Einstellungen werden gespeichert, sind aber noch nicht gültig. Zur Übernahme der Einstellungen starten Sie den Router neu.

IP Configuration

Local Network >> IP Configuration
Current Address
IP Address	aktuelle IP-Adresse des Routers
Subnet Mask	Subnetzmaske der aktuellen IP-Adresse
MTU (default 1500)	Eistellung der maximum Transmission Unit (MTU)
Enable IPv6	Yes: IPv6 aktiviert No: IPv6 nicht aktiviert
IPv6 static address	Eingabe der IPv6 Adresse
Type of the IP address assignment	Static address: Statische IP-Adresse (Standardeinstellung) DHCP address: Dynamische IP-Adresse, wird bei Start des Routers von einem DHCP-Server bezogen
Alias addresses	Mithilfe von Alias-Adressen können Sie dem Router bis zu 8 zusätzliche IP-Adressen zuweisen. Damit ist der Router aus verschiedenen Subnetzen erreichbar. Klicken Sie auf „New“ und tragen Sie die gewünschte IP-Adresse und Subnetzmaske ein
IP Address	alternative IP-Adresse des Routers
Subnet Mask	alternative Subnetzmaske des Routers

DHCP Server

Mit dem Dynamic Host Configuration Protocol (DHCP) können Sie die eingestellte Netzwerkkonfiguration den Geräten zuteilen. Die Geräte müssen direkt am Router angeschlossen sein.

Local Network >> DHCP Server
DHCP Server	Deaktiviert / Aktiviert: Klicken Sie auf "Enabled", wenn der Router als DHCP-Server den angeschlossenen Endgeräten beim Start die IP-Adressen zuweisen soll
Authoritative	Die authoritative-Direktive bestimmt, dass dieser DHCP-Server für das LAN-Segment zuständig ist. Yes: aktivieren No: deaktivieren
Hostname	Hostname des DHCP Servers
Domain Name	Domain-Namen eintragen, der über DHCP verteilt wird.
Lease Time (d.h.m.s)	Zeitraum, in dem die Netzwerkkonfiguraqtionen gültig sind
Dynamic IP address allocation	Dynamische IP-Adressen-Zuweisung: bei Aktivierung können Sie die entsprechenden Netzwerkparameter eintragen / der DHCP-Server vergibt IP-Adressen aus dem angegeben IP-Bereich
Begin IP Range	IP-Bereichsanfang
End IP Range	IP-Bereichsende
Static IP address allocation	IP-Adressen werden MAC-Adressen eindeutig zugeordnet
Client MAC Address	MAC-Adresse des verbundenen Endgerätes
Client IP Address	IP-Adresse des verbundenen Endgerätes. IP-Adressen dürfen nicht aus den dynamischen IP-Adressen Zuweisungen stammen. Eine IP-Adresse darf nicht mehrfach zugeordnet werden, da sonst einer IP-Adresse mehreren MAC-Adressen zugewiesen wird

Static Routes

Mit lokalen statischen Routen können Sie für Datenpakete aus dem lokalen Netzwerk alternative Routen über andere Gateways in überlagerte Netzwerke festlegen. Sie können bis zu acht statische Router festlegen. Wenn die Einträge für Netzwerk und Gateway logisch nicht korrekt sind, werden die fehlerhaften Einträge mit einem roten Rahmen angezeigt.

Local Network >> Static Routes
Network	Netzwerk in CIDER-Form
Gateway	Gateway-Adresse des Netzwerkes
max. 8 Netzwerke konfigurierbar

Wireless Network

Radio Setup

Im “Wireless Network”-Menü legen Sie Einstellungen für die Nutzung des Mobilfunknetzwerkes des Routers fest.

Wireless Network >> Radio Setup
Frequency	Frequenzbereich für GPRS/EDGE mithilfe einer Dropdown-Liste auswählen
UMTS Freq.	Frequenzbereich für UMTS mithilfe einer Dropdown-Liste auswählen / UMTS kann auch deaktiviert werden
LTE Band	Frequenzband für LTE auswählen / LTE kann auch deaktiviert werden
Backup SIM	Zweite SIM-Karte kann für eine Backup-Mobilfunkverbindung genutzt werden Disabled: Backup SIM nicht aktiv Enabled: Wechsel auf Backup SIM nach Provider timeout, Zurückfallen auf Standard SIM nach Backup runtime Always: Backup SIM ständig aktiv Input 1: Umschaltung auf Backup SIM wenn Input 1 aktiv Input 2: Umschaltung auf Backup SIM wenn Input 2 aktiv
Provider Timeout	Zeit in Minuten für Aktivierung der Backup-SIM-Karte nach Ausfall der Primären
Backup Runtime	Laufzeit in Stunden der zweiten SIM-Karte
Daily Relogin	Disabled: Deaktivierung des täglichen Logins Enabled: Aktivierung des täglichen Logins ( Primär vor Sekundär SIM )
Time	Zeitpunkt der Neuanmeldung des Routers in das Mobilfunknetz ( es erfolgt zunächst eine Abmeldung. Bei Neuanmeldung Primär vor Senkundär SIM )

Für den Einsatz in Deutschland sollte bei LTE die Variante mit B20 (800MHz)-Band "Europe (B3/B7/B20)" verwendet werden.

SIM und Backup SIM

Wireless Network >> SIM
Country	Auswahl des Landes, in dem der Router in das GSM-Netz eingewählt wird. (Schränkt die Auswahl unter dem Punkt "Provider" ein)
PIN	PIN-Eingabe
Roaming	Enabled: es besteht die Möglichkeit, dass der Router sich über ein fremdes Netz einwählen kann. Hierbei können je nach Vertrag zusätzliche Kosten entstehen Disabled: Deaktivierung des Roamings. Es wird automatisch das Heimatnetz des Providers genutzt. Sollte dies nicht möglich sein, kommt keine Verbindung zustande
Provider	Nur wenn das Roamings aktiviert ist, ist eine Auswahl möglich Auto: Automatische Auswahl des Providers
Credentials usage	Package data (default): Abhängig von der Authorisierung des Providers Registration and Package data: Abhängig von der Authorisierung des Providers
Username (wenn "Authentication" gewählt)	Benutzernamen für Paketdaten-Zugang (Providervorgabe)
Password (wenn "Authentication" gewählt)	Passwort für Paketdaten-Zugang (Providervorgabe)
APN	Name des Anschlusspunktes im Paketdaten-Netzwerk (Providervorgabe)
Authentication	Wählen Sie die Protokolle für die Anmeldung beim Provider: None: Der APN des Providers erfordert keine Anmeldung (Voreinstellung) PAP only: Nur Password Authentication Protocol CHAP only: Nur Challenge-Handshake Authentication Protocol PAP/CHAP: Password oder Challenge-Handshake Authentication Protocol

SMS Konfiguration und Steuerung

Sie können das Gerät per SMS fernbedienen. Klicken unter „SMS Control" auf Enable. Definieren Sie zum Schutz ein SMS-Passwort. Das Passwort kann bis zu 8 alphanumerische Zeichen enthalten.

SMS-Syntax

Die Steuerung erfolgt nach folgender SMS Syntax:

#<password>:<command>

Passwort
Funktionsbefehl
Zusätzliche Sub-Kommandos

<password> = ('A'-'Z', '0'-'9') // bis zu 7 alphanumerische Zeichen

<command> = SET:<sub_cmd> // set command (ON)

<command> = CLR:<sub_cmd> // clear command (OFF)

<sub_cmd> = GPRS // Paketdatenverbindung starten oder stoppen

<sub_cmd> = OUTPUT // output set to ON/OFF

<sub_cmd> = IPSEC // IPsec VPN-Kanal 1 ON/OFF

<sub_cmd> = IPSEC:n // IPsec VPN-Kanal n ON/OFF, n={1..x}

<sub_cmd> = OPENVPN // OpenVPN VPN-Kanal 1 ON/OFF

<sub_cmd> = OPENVPN:n // OpenVPN VPN-Kanal n ON/OFF, n={1..x}

<command> = SEND:STATUS // send a status SMS to the caller

<command> = RESET // reset all alarms

<command> = REBOOT // Reboot des Routers

Beispiel: Einschalten des Outputs 1 der I/O-Schnittstelle. Das (Beispiel-)Passwort lautet: „GEHEIM“.

Die SMS an die Rufnummer des Routers muss dann folgenden Inhalt haben:


Output einschalten:	#GEHEIM:SET:OUTPUT:1
Output ausschalten:	#GEHEIM:CLEAR:OUTPUT:1
IPsec Verbindung 1 aktivieren:	#GEHEIM:SET:IPSEC:1
IPsec Verbindung 1 deaktivieren:	#GEHEIM:CLR:IPSEC:1
OpenVPN Verbindung 1 aktivieren:	#GEHEIM:SET:OPENVPN:1
OpenVPN Verbindung 1 deaktivieren:	#GEHEIM:CLR:OPENVPN:1

Weiterleitung einer SMS an einen Socket Server

Der Router kann empfangene SMS Nachrichten an ein Endgerät über die Ethernet Schnittstelle weiterleiten. Auf dem Endgerät muss dafür ein Socket Server zum Empfang von XML-Dateien installiert sein. Klicken Sie Enable unter „SMS forward". Tragen Sie die Empfänger-IP-Adresse und den Port des Endgerätes ein, zu dem Sie kommunizieren möchten. Default-Wert für den Server ist Port 1432. Die empfangene SMS wird im folgenden Formatbeispiel weitergeleitet:

Wichtiger Hinweis!! Die Rufnummer muss dem Router zur Identifizierung als Eintragung im Telefonbuch bekannt sein.

Beispiel:

<?xml version="1.0"?>

<cmgr origaddr="+49172123456789" timestamp="10/05/21,11:27:14+08">SMS message</cmgr>

origaddr = Rufnummer des Absenders

timestamp = Zeitstempel des Service Center im GSM 03.40 Format

Wireless Network >> SMS Configuration
SMS Control	Disabled: den Router per SMS steuern-deaktiviert Enabled: den Router per SMS steuern-aktiviert
SMS Password	SMS-Passwort zum Steuern per SMS
SMS Forward	Disabled: SMS-Nachrichten über Ethernet weiterleiten-deaktiviert Enabled: SMS-Nachrichten über Ethernet weiterleiten-aktiviert
Server IP Address	Weiterleitung der SMS erfolgt an diese IP-Adresse
Server Port (default 1432)	Weiterleitung der SMS erfolgt an diesen Port

Packet Data Setup

Wireless Network >> Packet Data Setup
Packet data	Disabled: Deaktivierung der Paketdaten-Verbindung Enabled: Aktivierung der Paketdaten-Verbindung/virtuelle dauerhafte Verbindung, erst bei tatsächlicher Datenübertragung ensteht Traffic
Packet data mode	default: Datenverbindung über NDIS Treiber PPP (Point to Point): Datenverbindung über Point to Point Protokoll
MTU (default 1500)	Maximale Paketgröße in Bytes
Enable IPv6	IPv6 Adressen zulassen
Event	Initiate: automatischer Start der Paketdaten-Verbindung Initiate on SMS: Start per SMS Nachricht Initiate on XML: Start per XLM Skript Initiate on Input #1...#2: manueller Start über Schalteingang
Manual DNS	Disabled: Deaktivierung der manuellen DNS-Einstellung (DNS wird vom Provider empfangen) Enabled: Aktivierung der manuellen DNS-Einstellung
DNS Server	IP-Adresse, primärer DNS-Server im Mobilfunknetz
Sec. DNS Server	IP-Adresse sekundärer DNS-Server im Mobilfunknetz

Static Routes

Mit statischen Routen können Sie alternative Routen für Datenpakete im Mobilfunknetz festlegen. Wenn die Einträge für Netzwerk und Gateway logisch nicht korrekt sind, werden die fehlerhaften Einträge mit einem roten Rahmen angezeigt.

Wireless Network >> Static Routes
Network	Netzwerk in CIDR-Form
Gateway	Gateway-Adresse des Netzwerkes
max. 8 Netzwerke eintragbar

DynDNS

Die IP-Adresse des Routers im Internet wird dynamisch von dem Netzbetreiber zugewiesen. Über einen DynDNS-Anbieter kann der dynamischen IP-Adresse ein Name zugewiesen werden, über die der Router dann über das Internet erreicht werden kann. Auf dem Router muss entsprechend der DynDNS Client angelegt und aktiviert werden. Diese Funktion setzt eine Erreichbarkeit des Routers über den verwendeten Provider aus dem Internet voraus.

Wireless Network >> DynDNS
Status	Enable/Disable: DynDNS aktivieren/deaktivieren Grünes Feld: DynDNS aktiv rotes Feld: DynDNS nicht aktiv
DynDNS Provider	Auswahl des DynDNS-Anbieters
DynDNS Server	Wenn "Custom DynDNS" ausgewählt wird, muss hier der Servername eingetragen werden
DynDNS Username	Benutzername des DynDNS-Accounts
DynDNS Password	Passwort des DynDNS-Accounts
DynDNS Hostname	Hostname des Routers beim DynDNS-Service

Connection Check

Mit dem „Connection Check" kann eine kontinuierliche Verbindungsüberwachung der Daten-Verbindung zum Internet aktiviert werden. Bei einem Verbindungsverlust kann für einen neuen Verbindungsaufbau eine Aktion konfiguriert werden.

Wireless Network >> Connection Check
Connection Check	Disabled: Deaktivierung der Verbindungsprüfung der Paketdaten-Verbindung Enabled: Aktivierung der Verbindungsprüfung der Paketdaten-Verbindung
DNS Host	Der "Connection-Check" kann zusätzlich gegen den vom Provider vorgegebenen Nameserver durchgeführt werden None: Kein "Connection-Check" DNS Server: Test gegen DNS Server Sec. DNS Server: Test gegen DNS Host ICMP: Test mit ICMP Ping TCP: Der "Connection-Check" mit dem TCP-Protokoll durchgeführt. In diesem Fall wird getestest ob eine Verbindung aufgebaut wird
Host #1...#3	IP-Adresse oder Hostnamen als Referenzpunkt zur Verbiungsprüfung Local: Aktivierung bei Adressen, die über einen VPN-Tunnel erreichbar sind ICMP/TCP: siehe oben (DNS Host ) bei TCP muss noch der Port eingetragen werden (z.B. 80 bei http, 443 bei HTTPS)
Check every	Es wird alle x Minuten die Verbindung überprüft
Max. retry	Maximale Anzahl der Verbindungsversuche bis "Activity" in Kraft tritt
Activity	Bei Verbindungsabbruch eine der folgenden Aktionen ausführen: Reboot: Router Neustart Reconnect: Verbindung wird erneut versucht aufzubauen Relogin: Mobilfunkengine wird heruntergefahren und es erfolgt erneuter Verbindungsaufbau-Versuch mit Login None: keine Aktion wird ausgeführt

Device Services

Web Setup

Web Configuration

Device services >> Web setup >> Configuration
Web server access	http: Nur http https: Nur https local http, https: Lokal http, extern https
Server port (Default 80)	Einstellung des Ports für das Web based management
Certificate supject	Basisdaten für Zertifikatserstellung

Web Certificates

Device sevices >> Web setup >> Certificates
Load own PKCS#12 certificate	Upload PKCS#12 Zertifikat
Load CA signed certificate with CA chain	Upload CA signiertes Zertifikat

Web Server Firewall

Devices Services >> Web Setup >> Firewall
Incoming local traffic (Policy: Accept)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert
Incoming external traffic (Policy: Drop)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert

SSH Setup

SSH Configuration

Devices Services >> SSH Setup >> Configuration
SSH server	Disabled: deaktivert Enabled: aktivert
Server port (default 22)	Einstellung des SSH Ports

SSH Firewall

Devices Services >> SSH setup >> Firewall
Incoming local traffic (Policy: Accept)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert
Incoming external traffic (Policy: Drop)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert

SNMP Setup

SNMP Setup Configuration

Der Router unterstützt das Auslesen von Informationen über SNMP (Simple Network Management Protocol). SNMP ist ein Netzwerkprotokoll, mit dem Sie Netzwerkelemente von einer zentralen Station aus überwachen und steuern können. Das Protokoll regelt die Kommunikation zwischen den überwachten Geräten und der zentralen Station.

Device Services >> SNMP Setup >> Configuration
System information
Show in Sidebar	No: Keine Anzeige der "System Information" in der Sidebar oben links Yes: Anzeige der "System Information" in der Sidebar oben links
Name of device	Name für Verwaltungszwecke, frei definierbar
Description	Beschreibung des Routers
Physical location	Bezeichnung des Installationsortes, frei definierbar
Contact	Kontaktperson, die für den Router zuständig ist
SNMPv1/2/3 community
Enable SNMPv1/2 access	No: Der Dienst ist deaktiviert (Voreinstellung) Yes: Sie nutzen SNMP Version 1 und Version 2
Read only	Passwort für den Lesezugriff über SNMP
Read and write	Passwort für den Schreib- und Lesezugriff über SNMP
Enable SNMPv3access	No: Der Dienst ist deaktiviert (Voreinstellung) Yes: Sie nutzen SNMP Version 3
Trap configuration
Trap manager IP adress	IP Adresse des SNMP Servers
Port	Port des SNMP Servers
Target community	Passwort
Sending Traps	Traps senden erlauben / blockieren

SNMP Setup Firewall

Devices Services >> SNMP setup >> Firewall
Incoming local traffic (Policy: Accept)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert
Incoming external traffic (Policy: Drop)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert

COM Server Setup

Diese Funktionen werden unterstützt von:

CT-Router 4-Port LTE CAT1 + RS232, Artikelnummer: 620-10
CT-Router 4-Port LTE CAT4 + RS232, Artikelnummer: 621-10

COM Server Setup Configuration

Devices Services >> COM Server Setup >> Configuration
Status	Enabled: aktiviert Disabled: deaktivert
Connection type	Server Raw: Com Port Server mit RAW Übertragung Server RFC2217: Com Port Server mit Übertragung nach RFC2217 (Telnet) Client Raw: Com Port Client mit Raw Übertragung Client IP-Telemetry Com Port Client an IP-Telemetry Server (DIN 43863-4)
Server port (default 3001	Einstellung des Server-Ports
Baud rate	Auswahl der Baudrate
Data bits	Auswahl der Datenbits (7 oder 8)
Parity	Auswahl Parity (None, Even, Odd)
Stop bits	Auswahl Stopbits (1 oder 2)
Flow Control	Auswahl Flusskontrolle (None, RTS/CTS, XON/XOFF, Optional: RS485 RTS)
Flush trasmit buffer	aktivieren oder deaktivieren

COM Server Firewall

Devices Services >> COM server setup >> Firewall
Incoming local traffic (Policy: Accept)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert
Incoming external traffic (Policy: Drop)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert

Socket Server

Socket Server Configuration

Device Services >> Socket Server >> Configuration
Socket server	Disabled: deaktiviert Enabled: aktiviert
Server port (Default 1432)	Einstellung des Serverports
XML newline char	None, LF, CR, CR+LF
XML bool values	Verbose oder Numeric

Socket Server Firewall

Devices Services >> Socket server >> Firewall
Incoming local traffic (Policy: Accept)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert
Incoming external traffic (Policy: Drop)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert

Network Security

In diesem „Network Security”-Menü nehmen Sie Einstellungen zu der Netzwerksicherheit vor.

General Setup

Network Security >> General Setup
Traffic forwarding	Disabled: Port-Weiterleitungen vom Mobilfunknetz in das lokale Netz deaktiviert (Voreinstellung) Port forwarding: Port-Weiterleitungen vom Mobilfunknetz in das lokale Netz aktiviert Exposed host: Weiterleitung des vollständigen Datenverkehrs aus dem Mobilfunknetz zu einem Ethernet-Gerät im lokalem Netz aktiviert. Diesen Zugriff können Sie nicht er Firewall im Mobilfunknetz-Router einschränken
Block outgoing netbios	Netbios-Anfragen gehen von Windows-Systemen im lokalen Netzwerk aus und verursachen einen erhöhten Datenverkehr Disabled: Netbios-Anfragen werden erlaubt Enabled: Netbios-Anfragen werden geblockt
DNS service	Disabled: DNS-Anfragen werden geblockt Enabled: DNS-Anfragen werden erlaubt
Drop invalid packets	Die Firewall des Mobilfunk-Routers kann ungültige oder beschädigte IP-Pakete filtern und verwerfen Disabled: Auch ungültige IP-Pakete werden versendet Enabled: Ungültige IP-Pakete werden verworfen (Voreinstellung)
External ping (ICMP)	Ping-Anfragen prüfen, ob ein Gerät im Netzwerk errichbar ist. Dadurch erhöht sich der Datenverkehr Disabled: Ping-Anfragen aus dem externen IP-Netz werden nicht beantwortet Enabled: Ping-Anfragen aus dem externen IP-Netz werden beantwortet
External NAT (Masquerade)	Der Router kann bei ausgehenden Datenpaketen die angegebenen Absender-IP-Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben. Diese Methode wird benutzt, wenn die internen Adressen extern nicht geroutet werden. Das ist z. B. der Fall, wenn Sie einen privaten Adressbereich wie 192.168.x.x verwenden. Dieses Verfahren wird IP-Masquerading genannt Disabled: IP-Masquerading deaktiviert Enabled: IP-Masquerading ist aktiviert. Sie können aus einem privaten, lokalen Netz ins Internet kommunizieren

Firewall (Stateful Packet Inspection Firewall)

Das Gerät enthält eine Stateful-Packet-Inspection-Firewall. Die Verbindungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst (connection tracking). Dadurch müssen Sie die Regeln nur für eine Richtung definieren. Dann werden die Daten aus der anderen Richtung der jeweiligen Verbindung, und nur aus dieser, automatisch durchgelassen. Im Auslieferungszustand ist die Firewall aktiv. Sie blockt den eingehenden Datenverkehr (incoming traffic) und gestattet lediglich ausgehenden Datenverkehr (outgoing traffic). Das Gerät unterstützt je maximal 32 Regeln für lokalen und externen Zugriff.

Network Security >> Firewall
Incoming Traffic
Protocol	Protokollauswahl: TCP, UDP, ICMP, all
From IP / To IP	0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 65)
From Port / To Port	(Wird nur bei den Protokollen TCP und UDP ausgewertet) any: jeder beliebige Port startport-endport: ein Port-Bereich (z.B. 110-120)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d.h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert
New / Delete	Neue Regel aufstellen / bestehende Regel löschen Mit den Pfeilen können Regeln nach oben oder unten verschoben werden
Outgoing Traffic	Verhält sich ähnlich zum „Incoming Traffic“, jedoch beziehen sich diese Regeln auf den ausgehenden Datenverkehr. Ist keine Regel vorhanden, so sind alle ausgehenden Verbindungen verboten (mit Ausnahme von VPN-Verbindungen)

Wenn mehrere Firewall-Regeln gesetzt sind, werden diese in der Reihenfolge der Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann angewendet. Wenn in der Regelliste weitere Regeln vorhanden sein sollten, die auch passen würden, werden diese ignoriert.

IP and port forwarding

Die Tabelle enthält die festgelegten Regeln für Port- und IP-Weiterleitungen. Das Gerät hat genau eine IP-Adresse, über die von außen zugegriffen werden kann. Das Gerät kann bei eingehenden Datenpaketen die in ihnen angegebenen Absender-IP-Adressen auf interne Adressen umschreiben. Diese Technik wird als NAT (Network Address Translation) bezeichnet. Über die Port-Nummer können die Datenpakete auf Ports interner IP-Adressen umgeleitet werden. Das Gerät unterstützt maximal 64 Regeln für die Port-Weiterleitung.

Network Security >> Port Forwarding
Protocol	Auswahl: TCP / UDP / ICMP
From IP	0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise
In Port	Wird nur bei den Protokollen TCP und UDP ausgewertet Port Nr. any: jeder beliebige Port startport-endport: ein Port-Bereich (z.B. 100...150)
To IP	IP-Adresse aus dem lokalen Netzwerk, ankommenden Pakete werden an diese Adresse weitergeleitet
To Port	siehe "In Port"
Masq	Für jede einzelne Regel können Sie festlegen, ob IP-Masquerading angewendet werden soll Yes: : IP-Masquerading aktiviert, ankommende Pakete aus dem Internet erhalten die IP-Adresse des Routers. Antwort ins Internet ist möglich, auch ohne Default-Gateway No: Antwort ins Internet nur mit Default-Gateway (Defaulteinstellung)
Log	Für jede einzelne Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll Yes: Ereignis wird protokolliert No: Ereignis wird nicht protokolliert (Defaulteinstellung)

Exposed host (Server einrichten)

Network Security >> Exposed host
local exposed host	IP-Adresse des Exposed Host (Server)
Allow external access from	IP-Adressen für eingehende Datenverbindungen 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise
Masquerade traffic to exposed host	Legen Sie fest, ob IP-Masquerading angewendet werden soll Enabled: IP-Masquerading aktiviert, ankommende Pakete aus dem Internet erhalten die IP-Adresse des Routers. Antwort ins Internet ist möglich, auch ohne Default-Gateway Disabled: Antwort ins Internet nur mit Default-Gateway (Defaulteinstellung)
Log traffic to exposed host	Legen Sie fest, ob IP-Verbindungen protokolliert werden Enabled: IP-Verbindungen werden protokolliert Disabled: IP-Verbindungen werden nicht protokolliert (Defaulteinstellung)

Masquerading

Sie können für bestimmte Netze festlegen, ob IP-Masquerading angewendet werden soll. Wenn IP-Masquerading aktiviert ist, erhalten alle ankommenden Pakete aus dem Internet die IP-Adresse des Routers. Die Antwort in die konfigurierten Netze ist auch ohne Default- Gateway möglich. Das Gerät unterstützt maximal 16 Regeln für IP-Masquerading.

From IP 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“)

VPN

Im Menü VPN können Sie einerseits Einstellungen zur Internet Protocol Security (IPsec) andererseits zum virtuellen privaten Netzwerk (OpenVPN) vornehmen.

Für eine VPN-Verbindung müssen die IP-Adressen der VPN-Gegenstellen bekannt und adressierbar sein.

IPsec

Die VPN-Gegenstelle muss IPsec mit folgender Konfiguration unterstützen:

Authentifizierung über X.509-Zertifikate oder Preshared Secret Key (PSK)
ESP
Diffie-Hellman Gruppe 2 oder 5
3DES oder AES encryption
MD5 oder SHA-1 Hash Algorithmen
Tunnel-Modus
Quick Mode
Main Mode
SA Lifetime (1 Sekunde bis 24 Stunden)

Connections

VPN >> IPsec >> Connections
Monitor DynDNS	VPN-Gegenstelle hat keine feste IP und als Remote Host wird ein DynDNS-Name genutzt, so kann diese Funktion aktiviert werden, um die Verbindung zu überprüfen
Check Interval	Prüfintervall in Sekunden
IKE Logging Level	Einstellung des Logging Levels 0: Very basic auditing logs 1: Generic control flow with errors, a good default to see whats going on 2: More detailed debugging control flow
Enable	VPN-Verbindung aktivieren (=Yes) oder deaktivieren (=No)
Name	Name der VPN-Verbindung festlegen
Settings	Einstellungen für IPsec
IKE	Einstellungen für das Internet-Key-Exchange-Protokoll
Firewall	Einstellungen für IPsec Firewall

Connections Settings

VPN >> IPsec >> Connections >> Settings >> Edit
Name	Name der VPN-Verbindung
VPN	Aktivieren (=Enabled) oder Deaktivieren (=Disabled) der VPN-Verbindung
Adress Family	Auto: Automatische Verbindung mit IPv4 oder IPv6 IP-Adresse IPv4: Verbindung mit IPv4-Adresse IPv6: Verbindung mit IPv6-Adresse
Authentication	X.509 Remote Certificate - VPN-Teilnehmer haben einen privaten und einen öffentlichen Schlüssel (X.509-Zertifikat) Preshared Secret Key - VPN-Teilnehmer besitzen einen privaten Schlüssel (ein gemeinsames Passwort)
Remote Certificate	VPN-Gegenstellen Authentifizierung erfolgt über ein Zertifikat , (Gegenstellenzertifikat, .pem .cer .crt) das in dem Menü "IPsec Certificates" hochgeladen werden muss
Local Certificate	Router Authentifizierung bei der VPN-Gegenstelle erfolgt über ein Zertifikat (Maschinenzertifikat, PKCS#12), das in dem Menü "IPsec Certificates" hochgeladen werden muss
Remote ID	Leer: Kein Eintrag in der Zeile bedeutet, dass die Angaben aus dem Zertifikat gewählt werden Subject: Eine IP-Adresse, E-Mail-Adresse oder ein Hostname (mit vorangestelltem @-Zeichen) bedeutet, dass diese Einträge auch im Zertifikat vorhanden sein sollten, damit sich der Router authentifizieren kann
Local ID	Siehe Remote ID
Address Remote Network	IP-Adresse/Subnetzmaske des Netzwerkes, zu dem eine VPN-Verbindung aufgebaut wird
Address Local Network	IP-Adresse/Subnetzmaske des Netzwerkes, von dem eine VPN-Verbindung aufgebaut wird
Connection NAT	Local 1:1 NAT: IP-Adresse vom lokalen Netzwerk, unter der das Netzwerk per 1:1 NAT aus dem Remote-Netz erreicht werden kann/soll
Remote Connection	Accept: VPN-Verbindung wird von einer Gegenstelle aufgebaut und vom Router akzeptiert Initiate: VPN-Verbindung geht vom Router aus Initiate on SMS: VPN-Verbindung wird durch eine SMS gestartet Initiate on Call: VPN-Verbindung wird durch einen Anruf gestartet Initiate on XML: VPN-Verbindung wird über eine XML-Datei gestartet Initiate on Input 1: Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 1 Initiate on Input 2: Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 2
Autoreset	Kann bei "Initiate on SMS" und muss bei "Initiate on Call" festgelegt werden. Es wird ein Zeitraum festgelegt, nach wieviel Minuten die VPN-Verbindung per Autoreset gestoppt wird

Connection IKE

VPN >> IPsec >> Connections >> IKE >> Edit
Name	Name der VPN-Verbindung
IKE Protocol	IKEv1 only: nur IKEv1 IKEv2 only nur IKEv2 Initiate IKEv2: Initiate
Phase 1 ISAKMP SA	Schlüsselaustausch
ISAKMP SA Encryption	Verschlüsselungsalgorithmus-Auswahl
ISAKMP SA Hash	Hash-Algorithmus-Auswahl
ISAKMP SA Lifetime	Lebensdauer des ISAKMP SA Schlüssels. Standardeinstellung 3600 Sekunden (1 Stunde) max. Einstellwert 86400 Sekunden (24 Stunden)
Phase 2 IPsec SA	Datenaustausch
Ipsec SA Encryption	siehe ISAKMP SA Encryption
Ipsec SA Hash	siehe ISAKMP SA Hash
Ipsec Lifetime	Lebensdauer des Ipsec SA Schlüssels. Standardeinstellung 28800 Sekunden (8 Stunden) max. Einstellwert 86400 Sekunden (24 Stunden)
Perfect Forward Secrecy (PFS)	Aktivieren (=Yes) oder Deaktivieren (=No) der PFS Funktion
DH/PFS Group	Im Ipsec werden beim Datenaustausch in bestimmten Intervallen die Schlüssel erneuert. Mit PFS werden hierbei mit der Gegenstelle im Schlüsselaustauschverfahren neue Zufallszahlen ausgehandelt Auswahl des Verfahrens
Rekey	Unter Rekeying versteht man das erneute Aushandeln einer abgelaufenen und damit nicht mehr gültigen Sicherheitsbeziehung. Dies bezieht sich sowohl auf IKE-SAs als auch auf SAs für IPsec. No: aktivieren Yes: nicht aktivieren
Dead Peer Detection	Unterstützt die Gegenstelle ein solches Protokoll, so kann überprüft werden, ob die Verbindung "tot" ist oder nicht. Die Verbindung wird versucht neu aufzubauen No: Keine Dead Peer Detection Yes: Bei VPN Initiate wird versucht, neuzustarten "Restart. Bei VPN Accept wird die Verbindung geschlossen "Clear"
DPD Delay (sec.)	Zeitintervall in Sekunden, in dem die Peer-Verbindung überprüft wird
DPD Timeout (sec.)	Zeitspanne nach der die Verbindung zur Gegenstelle für nicht aktiv erklärt werden soll Defaultwert: 120 Sekunden Maximum: 86400 Sekunden (24 Stunden)

Certificates

Mit einem Zertifikat, das in den Router geladen werden kann, authentifiziert sich der Router bei der Gegenstelle.

VPN >> IPsec >> Certificates
Load Remote Certificate	Hochladen von Zertifikaten, mit denen eine Authentifizierung für den Router bei der VPN-Gegenstelle erfolgen kann
Load Own PKCS#12 Certificate	Hochladen eines Zertifikats (Providervorgabe)
Password	Passwort für das PKCS#12 Zertifikat / das Passwort wird beim Export vergeben
Remote Certificates	Tabellarische Übersicht aller "Remote Certificates" / mit "Delete" wird ein Zertifikat gelöscht
Own Certificates	Tabellarische Übersicht aller "Own Certificates" / mit "Delete" wird ein Zertifikate gelöscht

Firewall

VPN >> IPsec >> Firewall
Incoming Packets (Policy: Accept)
From IP	IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
Action	Accept: Datenpakete werden angenommen Reject: Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden Drop: Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
Comment	Kommentar
Log	Yes: Aktivierung der Regel wird protokolliert No: Aktivierung der Regel wird nicht protokolliert

OpenVPN

OpenVPN ist ein Programm zum Aufbau eines virtuellen privaten Netzwerks (VPN) über eine verschlüsselte Verbindung.

Connections

OpenVPN-Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte Verbindung. Es können bis zu 5 gleichzeitige OpenVPN Tunnel eingerichtet werden.

VPN >> OpenVPN >> Connections >> Tunnel >> Edit
Name	Name der OpenVPN-Verbindung
VPN	OpenVPN Tunnel aktiv (=Enable) oder inaktiv (=Disable)
Event	Initiate: Tunnel dauernd gestartet Initiate on SMS: Start / Stoppt den VPN-Tunnel mittels SMS Initiate on Call: Start / Stoppt den VPN-Tunnel mittels Anruf Initiate on XML: Start / Stoppt den VPN-Tunnel mittels XML Script Initiate on Input 1: Start / Stoppt den VPN-Tunnel mittels Input 1 Initiate on Input 2: Start / Stoppt den VPN-Tunnel mittels Input 2
Remote Host	IP-Adresse oder URL der Gegenstelle
Remote Port	Port der Gegenstelle (Standard: 1194)
Address Family	auto: Automatisch IPv4 oder IPv6 IPv4: Ipv4 IPv6: IPv6
Protocol	UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen!
Compression	Disabled: Keine Kompression LZO Adaptive: Adaptive Kompression LZO no: LZO yes: LZO enabled: Compress off: Compress LZO: Compress LZ4:
Allow Remote Float	Option: Bei der Kommunikation mit dynamischen IP-Adressen akzeptiert die OpenVPN-Verbindung authentifizierte Pakte von jeder IP-Adresse
Redirect default gateway	Das Default Gateway wird durch den Tunnel geleitet
Local Port	Lokaler Port
Authentication	Authentifizierungsart der OpenVPN-Verbindung festlegen (X.509, PSK oder Username/Password)
Local Certifacate	Zertifikat vom Router für die Authentifizierung bei der Gegenstelle
HMAC Authentication	MD5, SHA1, SHA224, SHA256, SHA384, SHA512, None
TLS Authentication Key	None
Check Remote Certificate Type	Option: Zertifikate der OpenVPN-Verbindung überprüfen
Address Local Network	IP-Adresse/Subnetzmaske des lokalen Netzwerks
Connection NAT	None: Keine Weiterleitung Local 1:1 NAT: „Eins-zu-Eins“ Weiterleitung an ein lokales Netzwerk (NAT to local Network) Local Masquerading: Die durch den Tunnel ausgehenden Pakete werden auf die Quelladresse des Routers umgeschrieben, um Geräten am Router den Zugriff auf die Gegenseite des Tunnels zu ermöglichen Remote Masquerading: Die durch den Tunnel eingehenden Pakete werden auf die lokale Adresse des Routers umgeschrieben Port Forwarding: Weiterleitung mit den Einstellungen wie unter Punkt „Port Forwarding“ beschrieben Host Forwarding: Weiterleitung an die feste IP-Adresse eines angeschlossenen Endgerätes(Forward to local Host)
Encryption	Verschlüsselungsalgorithmus der OpenVPN-Verbindung
Keep Alive	Zeitintervall in Sekunden von Keep Alive-Anfragen an die Gegenstelle
Restart	Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt

Bridge

Durch die Überbrückung einer physischen Ethernet-Schnittstelle mit einer OpenVPN-gesteuerten TAP-Schnittstelle an zwei verschiedenen Standorten ist es möglich, beide Ethernet-Netzwerke logisch zusammenzuführen, als wären sie ein einziges Ethernet-Subnetz.

Die Einstellungen entsprechen den OpenVPN-Server-Einstellungen wie im folgenden Kapitel beschrieben.

Server

Einsatz des Routers als OpenVPN Server.

Zur Aktivierung des Servers wählen Sie unter dem Menüpunkt „Enabled“ den Eintrag „Yes“. Geben Sie unter „Name“ einen frei gewählten Namen des Servers ein. Klicken Sie anschließend auf „Apply“. Mit einem Klick auf „Edit“ erreichen Sie die OpenVPN Server Einstellungen.

VPN >> OpenVPN >> Connections >> Server
VPN	OpenVPN Server aktiviert (=Enable) oder inaktiv (=Disable)
Local Port	Einstellung des OpenVPN Ports des Servers (default 1194)
Address Family	IPv4 oder IPv6 IP-Adressen
Protocol	UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen!
Compression	Disabled = Keine Kompression Einstellung der gewünschten Kompressionsart
Topology	subnet: Die empfohlene Topologie für moderne Server. Die Adressierung erfolgt über IP & Netzmaske. net30: Dies ist die alte Topologie für die Unterstützung von Windows-Clients, auf denen 2.0.9 oder ältere Clients ausgeführt werden. Dies ist die Standardeinstellung ab OpenVPN 2.3, wird jedoch für die aktuelle Verwendung nicht empfohlen. Jedem Client wird ein virtuelles /30 zugewiesen, wobei 4 IPs pro Client plus 4 für den Server benötigt werden.
HMAC Authentication	Keyed-Hash Message Authentication Code (HMAC) - Auswahl der Verschlüsselung
TLS authentification key	None oder entsprechenden key auswählen. Der Key muss vorab geladen worden sein
Local certificate	Auswahl des PKCS#12 Zertifikats (.p12) des OpenVPN Servers. Das Zertifikat muss vorab geladen worden sein Achtung: Bitte stellen Sie sicher, dass die Systemzeit des Routers aktuell ist und somit mit in das zeitliche Gültigkeitsfenster der Zertifikate fällt
Diffie-Hellman parameter	Standard ist 1024 Bit, kann auf 2048 Bit geändert werden (wird bei der Erstellung des Zertifikats Parameter definiert)
Encryption	Verschlüsselungsalgorithmus für die OpenVPN Verbindung
Client to client traffic	Client zu Client Verbindung zugelassen oder blockieren
Client subnet base	Angabe des Basis Netzwerkes des OpenVPN Servers Von dieser Einstellung werden die Netzwerkabschnitte der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten)
Virtual network base	Virtual Network Base Angabe des internen, virtuellen Basis Netzwerkes des OpenVPN Servers Von dieser Einstellung werden die virtuellen IP-Adressen der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten)
Keep alive	Zeitspanne in Sekunden, nach welcher Keep Alive-Anfragen gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist
Restart	Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt
Additional Options pushed to the Clients
Redirect Default Gateway	Wenn Sie „Redirect Default Gateway“ anklicken, werden die Routen des Clients durch den OpenVPN Tunnel geleitet
Routes	Hier können den Clients Routen mitgeteilt werden, damit Geräte hinter dem Router erreicht werden können

Client Table

Klicken Sie den „Clients“-Button um die OpenVPN Clients anzulegen.

Bitte definieren Sie hier Ihre OpenVPN Clients. Zur Identifizierung der Clients durch den OpenVPN Servers, muss hier unter „Common Name“ der Common Name eingegeben werden, welcher bei der Generierung des entsprechenden Zertifikates für den Client definiert wurde. Es findet hier also die Zuordnung des Client Zertifikats zu der durch den Server definierten Client Adresse statt.

Beispiel zur Abbildung oben: Ein Client hat ein Zertifikat mit dem Common Name Service PC geladen. Dieser Client ist dann hier über die virtuelle IP-Adresse 172.16.0.5 erreichbar. Das Netzwerk auf dem Client-(Router) kann hier über den IP Adressenabschnitt 10.8.1.0/24 erreicht werden.

Hinweise:

Die Client Adresse wird automatisch von der Virtual Network Base Einstellung unter: „OpenVPN Server“ abgeleitet. (z.B. Virtual Network Base = 172.16.0.0/24, erste Client Adresse = 172.16.0.5, zweite Client Adresse = 172.16.0.9 usw.) Der Client Subnet wird automatisch von der Client Subnet Base Einstellung unter: „OpenVPN Server“ abgeleitet. (z.B. Virtual Network Base = 10.8.1.0/24, erstes Client Subnet = 10.8.2.0/24, zweites Client Subnet = 10.8.3.0/24 usw.)

Klicken Sie „Advanced“ für weitere Spezial-Einstellungen.

Sie haben bei Bedarf die Möglichkeiten spezielle Einstellungen für die Größen: TUN-MTU, Fragment, MSS fix und für das Renegotiate Key Interval vorzunehmen.

Hinweise:

Bitte vergessen Sie nicht alle Eingaben oder Änderungen durch das Klicken auf den „Apply“ Button zu bestätigen/ zu aktivieren. Sollten die Einstellungen nicht unmittelbar wirken, so sollten Sie zur Sicherheit ein Reboot des Routers durchführen.

Port Forwarding OpenVPN

VPN >> OpenVPN >> Port Forwarding
Protocol	Auswahl: TCP / UDP / ICMP
In Port	Port Nr. eingehende Verbindung
To IP	IP Adresse von Ziel
To Port	Port Nr. Vom Ziel
Masq	Masquerading ein-bzw. ausschalten
Comment	Kommentarfeld

Certificates OpenVPN

VPN >> OpenVPN >> Certificates
Load Own PKCS#12 Certificate	Hochladen eines Zertifikats, das von Ihrem Provider stammt
Password	Passwort für das PKCS#12 Zertifikat. Das Passwort wird beim Export vergeben
Own Certificates	Tabellarische Übersicht aller "Own Certificates" / mit "Delete" werden die Zertifikate gelöscht

Static Keys OpenVPN

VPN >> OpenVPN >> Static Keys
Generate static Key	Einen statischen Schlüssel generieren und speichern
Load static Key	Statischen Schlüssel in den Router laden (den gleichen statischen Schlüssel muss auch die Gegenstelle besitzen)
Static Keys	Tabellarische Übersicht aller geladenen statischen Schlüssel

I/O - Digitale Inputs und Outputs

Der LTE Router verfügt an der Oberseite über zwei digitale Ein- und Ausgänge, die in dem „I/O“-Menü von Ihnen konfiguriert werden können.

Belegung Power-Stecker.

Signal	Beschreibung
PE	PE / Schutzerde
GND	Ground für Input/Output
0V	GND
VDC	10 - 55V DC

Belegung IO-Stecker.

Signal	Beschreibung	Spannungen
O1	Digital Output 1	Ausgangsspannung. = VDC - 2V
O2	Digital Output 2	Ausgangsspannung = VDC - 2V
I1	Digital Input 1	10...48 V DC
I2	Digital Input 2	10...48 V DC

Die kurzschlussfesten (nicht dauerkurzschlussfest) Schaltausgänge (O1, O2) sind für max. 150 mA bei 10 ... 55 V DC ausgelegt. Ausgangsspannung. = Versorgungsspannung (VDC) - 2V

An die Schalteingänge (I1, I2) können Sie 10 ... 48 V DC anschliessen. Eingangsstrom max. 10 mA, die Schaltschwelle liegt bei ca. 5V

Wichtiger Hinweis: Die digitalen Ein- und Ausgänge benötigen als zweiten Kontakt den GND-Anschluß (Ground für Input/Output / Anschluß ohne Beschriftung) des Power Steckers

Inputs

I/O >> Inputs
High	Option: Bei einem High-Pegel kann eine Nachricht per SMS oder E-Mail verschickt werden
Low	Option: Bei einem Low-Pegel kann eine Nachricht per SMS oder E-Mail verschickt werden

Stellt man nun eine der oben dargestellten Optionen ein, so muss man diese mit "apply" bestätigen. Erst dann können die Einstellungen für die Benachrichtigung editiert werden SMS: Eine oder mehrere Rufnummern werden aus dem eingespeicherten Telefonbuch selektiert, und Sie können einen individuellen Nachrichtentext festlegen E-Mail: Sie können einen Empfänger, einen Kopie-Empfänger, einen Betreff und einen Nachrichtentext festlegen

Schalteingänge anschließen

Schließen Sie die Schalteingänge mittels des Klemmsteckers wie oben unter "Pinbelegung" beschrieben an.
An die Schalteingänge (I1 und I2) können Sie 10 ... 30 V DC anschließen
Das 0V-Potential der Schalteingänge müssen Sie an "0V" der Klemme anschließen

Outputs

I/O >> Outputs
Optionen	Manual: An-/ Ausschalten erfolgt manuell über WBM Remote Controlled: An- / Ausschalten per SMS oder Socket Server. Zusätzlich kann die Funktion Autoreset genutzt werden, bei der eine Zeitspanne in Minuten festgesetzt wird Radio Network: Ausgang wird geschaltet, falls der Router sich in ein Mobilfunknetz einklinkt Paket Service: Ausgang wird geschaltet, falls der Router eine Paket-Verbindung aufbaut und eine IP-Adresse vom Provider zugewiesen bekommen hat VPN Service: Ausgang wird geschaltet, falls eine VPN-Verbindung besteht Incoming Call: Ausgang wird geschaltet, falls der Router angerufen wird und die Rufnummer im Telefonbuch steht Connection Lost: Der Ausgang wird geschaltet, falls eine Verbindung abbricht
Autoset	Zeitraum in Minuten festlegen, nachdem der Ausgang zurückgesetzt wird

Die kurzschlussfesten Schaltausgänge (O1 ... O2) sind für maximal 150 mA bei 10 ... 30 V DC ausgelegt.

Den Ground der Schaltausgänge müssen Sie an "GnD" der IO-Klemme anschließen.

Phonebook

I/O >> Phonebook
#1 … #20	Rufnummern für I/O Input und I/O Output

Authentication

User (Passwörter)

Authentication >> User
admin	Uneingeschränkter Zugriff (Schreiben und Lesen) Neues Passwort festlegen
user	Eingeschränkter Zugriff (nur Lesen / nicht alle Bereiche) Neues Passwort festlegen

Das Passwort darf max. 20 Zeichen lang sein.

Folgende Zeichen sind erlaubt:

Alphanumerische Zeichen, Punkt, Komma, Minus, Plus, Schrägstrich (/), Doppelpunkt, Semikolon, Hashtag (#), At (@)

Trusted CA certificates

Authentication >> Trusted CA Certificates
Load CA certificate	Upload des CA Zertifikates
CA certificates	Anzeige des geladenen CA Certifikates

System

Im Systemmenü können allgemeine Einstellungen für den LTE_NG Routert getroffen werden.

System Configuration

System >> System Configuration
Remote UDP Logging	Disabled: deaktiviert Enabled: aktivert
Server IP Address	IP-Adresse Remote UDP Logging
Server port (default 514)	Port IP-Adresse Remote UDP Logging
Non Volatile Log	Disabled: Kein Logging USB-Stick: Loging auf angeschlossenen USB-Stick SD Card: Logging auf interne SD-Karte
Load Configuration	Disabled: Keine Konfiguration laden USB-Stick: Konfiguration vom USB-Stick laden SD Card: Konfiguration von SD-Karte laden
Configuration unlock	once: Laden der Konfiguration über USB Stick einmalig möglich allways: Laden der Konfiguration über USB Stick dauerhaft möglich by input 1: Laden der Konfiguration über USB Stick möglich, wenn Input 1 aktiv by input 2: Laden der Konfiguration über USB Stick möglich, wenn Input 2 aktiv
Reset Button	Factory Reset: Nach 5 Sekunden gedrücktem Reset Button wird die Werkseinstellung geladen Web access reset: Nach 5 Sekunden gedrücktem Reset Button, ist der Webservice des Routers über die Default IP-Adresse (192.168.0.1) wieder erreichbar. Der angeschlossene PC muss auf eine Feste IP-Adresse (z.B. 192.168.0.10) konfigurtiert sein
Disable IPsec	No: IPsec aktiv Yes: IPsec deaktiviert
Ethernet Ports Disable
Ethernet LAN2	Ethernetanschluss 2 deaktivieren
Ethernet LAN3	Ethernetanschluss 3 deaktivieren
Ethernet LAN4	Ethernetanschluss 4 deaktivieren

Log-File

System >> Log-File
Clear	Einträge im internen Log-File werden gelöscht
Save	Log-File wird gespeichert

SMTP Configuration

System >> SMTP Configuration
SMTP Server	IP-Adresse / Hostname des SMTP Servers
SMTP Port (default 25)	Port des SMTP Servers
Transport Layer Security	Verschlüsselung: Keine, STARTTLS, SSL/TLS
Authentication	No authentication: Keine Authentifizierung Plain Password: Authentifizierung Benutzername und Passwort (unverschlüsselte Übertragung der Authentifizierungsdaten) Encrypted Password: Authentifizierung mit Benutzername und Passwort (verschlüsselte Übertragung der Authentifizierungsdaten)
Username	Benutzername
Password	Passwort
From	Absender der Mail

Configuration Up-/Download

System >> Configuration Up-/Download
Download	Aktuelle Konfigurationen herunterladen
Upload	Gesicherte oder veränderte Konfigurationen hochladen und mit "apply" bestätigen
Reset to Factory Defaults	Konfigurationen und IP-Einstellungen auf Werkeinstellung zurücksetzen. Hochgeladene Zertifikate bleiben erhalten

Konfiguration über SSH und XML-Datei

Die Übertragung einer XML-Datei zur Konfiguration des Routers kann zusätzlich mittels des SSH Protokolls über die lokale Ethernet-Schnittstelle oder im Remote Betrieb erfolgen.

SSH bzw. Secure Shell bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit deren Hilfe man eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät herstellen kann. Verwenden Sie unter Linux die Konsoleneingabe. Unter Windows empfehlen wir Ihnen die Verwendung der unter putty.org downloadbaren Programme plink.exe und pscp.exe.

Die Beispiele unten basieren auf den Default-Einstellungen des Routers: Benutzername: admin Passwort: admin Router IP-Adresse: 192.168.0.1

Download der Konfiguration per SSH

Sie können die Konfiguration des Routers als XML-Datei oder als TGZ-Datei herunterladen.

Unter Linux: ssh admin@192.168.0.1 'su -c "/usr/sbin/export_cfg"' > config.xml

oder

ssh admin@192.168.0.1 'su -c "/usr/sbin/export_cfg tgz"' > config.tgz

Unter Windows mit PLINK.EXE

plink -2 -pw admin admin@192.168.0.1 "su -c \"/usr/sbin/export_cfg\"" > config.xml

oder

plink -2 -pw admin admin@192.168.0.1 "su -c \"/usr/sbin/export_cfg tgz\"" > config.tgz

Upload der Konfiguration per SSH

Unter Linux

Ohne Router-Reboot:

cat config.xml | ssh admin@192.168.0.1 'su -c "/usr/sbin/store_cfg"'

Mit anschließendem Router-Reboot:

cat config.xml | ssh admin@192.168.0.1 'su -c "/usr/sbin/store_cfg; /sbin/reboot"'

Das Passwort wird hier von SSH interaktiv erfragt. Ein automatischer Batch Betrieb ist damit nicht möglich. Allerdings ist es mit dem Programm "sshpass" möglich eine Script-Datei samt Passwort ausführen zu lassen

Die Script-Datei z.B. cfgupl.sh muss folgendes enthalten:

   !/bin/bash cat config.xml | ssh admin@192.168.0.1 'su -c "/usr/sbin/store_cfg; /sbin/reboot"'

Der Linux-Befehl lautet dann: sshpass -padmin ./cfgupl.sh

Unter Windows mit PSCP.EXE und PLINK.EXE

Ohne Router-Reboot:

pscp -scp -pw admin config.xml admin@192.168.0.1:/tmp/cfg.xml plink -2 -pw admin admin@192.168.0.1 "su -c \"/usr/sbin/store_cfg /tmp/cfg.xml\""

Mit anschließendem Router-Reboot:

pscp -scp -pw admin config.xml admin@192.168.0.1:/tmp/cfg.xml plink -2 -pw admin admin@192.168.0.1 "su -c \"/usr/sbin/store_cfg /tmp/cfg.xml; /sbin/reboot\""

RTC

System >> RTC
New Time	Manuelle Zeitkonfiguration, falls kein NTP-Server vorhanden ist
Timezone	Zeitzonenauswahl
Daylight saving time	Disabled: Sommerzeitberücksichtigung deaktiviert Enabled: Sommerzeitberücksichtigung aktiviert
NTP Synchronisation	Disabled: NTP Synchronisation deaktiviert Enabled: NTP Synchronisation aktiviert Datum und Uhrzeit können mit einem NTP-Server synchronisiert werden. Bei Erstverwendung dieser Funktion kann die erste Synchronisation bis zu 15 Minuten dauern
NTP Server	Im LAN-Netzwerk kann der Router als NTP-Server eingestellt werden. Es wird hierzu eine Adresse von einem NTP-Server benötigt. Die NTP Synchronisation muss auf Enable gestellt werden
Time Server	Disabled: Zeitserverfunktion für das lokale Netzwerk deaktiviert Enabled: Zeitserverfunktion für das lokale Netzwerk aktiviert

Reboot

System >> Reboot
Reboot NOW!	Sofortigen Neustart des Routers erzwingen
Daily reboot	Den Router an bestimmten Wochentagen zum bestimmten Zeitpunkt neustarten. Mit Klicken auf die Kontrollkästchen legen Sie die Wochentage für den Neustart fest
Time	Uhrzeit des Neustarts (Stunde:Minute)
Event	Router kann mit digitalem Eingang neu gestartet werden. Das Signal sollte nach einem Neustart wieder "Low" sein

Firmware Update

Zum Inhaltsverzeichnis

System >> Firmware Update
Device Firmware Update	Diese Updates sorgen für Funktionserweiterungen und Produktaktualisierungen
Package Update	Diese Updates sorgen für eine Aktualisiereung einzelner Pakete

Technischer Anhang

Abfrage und Steuerung über XML Dateien

Format der XML Dateien

Jede Datei beginnt mit dem Header: <?xml version="1.0"?>

oder

<?xml version="1.0" encoding="UTF-8"?>

Gefolgt von dem Basis-Eintrag. Folgende Basis-Einträge stehen zur Auswahl:

<io> </io> # E/A-System

<info> </info> # Allgemeine Informationen abfragen

<cmgr ...> </cmgr> # SMS versenden (nur Mobilfunkgeräte)

<email ...> </email> # eMail versenden

Alle Daten werden in UTF-8 kodiert. Folgende Zeichen müssen als Sequenzen übertragen werden: & &

< <

> >

" "

' '

Beispiele zu den XML Basis-Einträgen

1) E/A System

<?xml version="1.0"?> <io> <output no="1"/> # Zustand von Ausgang 1 abfragen

<output no="2" value="on"/> # Ausgang 2 einschalten

<input no="1"/> # Zustand von Eingang 1 abfragen

</io>

Hinweis: Als "value" kann sowohl on/off als auch 0/1 angegeben werden. Zurückgegeben wird immer on oder off. Zurückgeliefert wird etwa folgendes: <?xml version="1.0" encoding="UTF-8"?>

<io>

<output no="1" value="off"/> # Zustand von Ausgang 1; hier eingeschaltet

<output no="2" value="on"/> # Zustand von Ausgang 2; wurde eingeschaltet

<input no="1" value="off"/> # Zustand von Eingang 1; hier ausgeschaltet

</io>

</result>

Zu beachten ist, das Ausgänge, welche ferngesteuert werden sollen, als"Remote Controlled" konfiguriert sein müssen

2) Allgemeine Informationen abfragen

<?xml version="1.0"?>

<info>

<device /> # Gerätedaten abfragen

<radio /> # Daten zur Funkverbindung abfragen (nur Mobilfunkgeräte)

</info>

Zurückgeliefert wird etwa folgendes:

<?xml version="1.0" encoding="UTF-8"?>

<info>

</device>

<radio>

<provider>Vodafone.de</provider>

</radio>

</info>

</result>

3) SMS versenden

<?xml version="1.0"?>

Zurückgeliefert wird etwa folgendes:

<?xml version="1.0" encoding="UTF-8"?>

<cmgs length="98">SMS accepted</cmgs>

</result>

4) eMail versenden

<?xml version="1.0"?>

<body>

Dies ist ein mehrzeiliger eMail-Text. mfg. ihr Router

</body>

</email>

Zurückgeliefert wird etwa folgendes:

<?xml version="1.0" encoding="UTF-8"?>

</result>

oder im Fehlerfall:

<?xml version="1.0" encoding="UTF-8"?>

<email error="3">transmisson failed</email>

</result>

Hinweis zur Darstellung: die Einrückungen und Zeilenumbrüche dienen nur der Verständlichkeit und müssen so nicht gesendet werden, noch werden sie so gesendet. Alle empfangenen Daten sollten mit einem XML-Parser wie z.B. Expat interpretiert werden

Daten senden und empfangen

Der Kommunikationsablauf ist folgender:

Verbindung zum Socket-Server aufbauen
Daten senden
Zurückgegebene Daten mit XML-Parser interpretieren
Verbindung schließen

Lizenzen

Firmware mit Open Source GPL/LGPL

Die Firmware des Comtime Routers enthält open Source Software unter GPL/LGPL Bedingungen. Gemäß des Abschnitts 3b von GPL und des Abschnitts 6b von LGPL bietet die Comtime GmbH Ihnen den Quellcode an. Sie können den Quellcode bei uns anfordern, dazu senden Sie eine E-Mail an support@comtime-com.de mit dem Betreff: 'Open Source Comtime Router'.

Die Lizenzbedingungen der open Source Software erhalten Sie mit dem Quellcode.

Firmware mit OpenBSD

Die Firmware des Comtime Routers enthält Teile aus der OpenBSD-Software. Die Verwendung von OpenBSD-Software verpflichtet zum Abdruck des folgenden Copyright-Vermerkes:

Redistribution and use in source and binary forms, with or without

modification, are permitted provided that the following conditions

are met: * 1. Redistributions of source code must retain the above copyright

notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright

notice, this list of conditions and the following disclaimer in the

documentation and/or other materials provided with the distribution.

3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
This product includes software developed by the University of
California, Berkeley and its contributors.
4. Neither the name of the University nor the names of its contributors
may be used to endorse or promote products derived from this software
without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE

@@ Zeile 3: / Zeile 3: @@
 * CT-Router 4-Port LTE CAT1, Artikelnummer: 620-00
 * CT-Router 4-Port LTE CAT1 + RS232, Artikelnummer: 620-10
+* CT-Router 4-Port LTE CAT1 + RS485, Artikelnummer: 620-20
 * CT-Router 4-Port LTE CAT4, Artikelnummer: 621-00
 * CT-Router 4-Port LTE CAT4 + RS232, Artikelnummer: 621-10
+* CT-Router 4-Port LTE CAT4 + RS485, Artikelnummer: 621-20
+* CT-Router 4-Port LTE 450, Artikelnummer: 667-00
+'''Den "Installation Guide" zum CT-Router LTE finden Sie [https://wiki.comtime-com.de/index.php?title=Installation_Guide_CT-Router_LTE hier]'''
+[[Datei:Front_LTE.jpg| 150px |rahmenlos| Front]]
@@ Zeile 200: / Zeile 208: @@
 == Serial-COM ==
+[[Datei:Status_Serial_com_LTE.jpg| 600px |rahmenlos| Status Serial Com]]
+{| class="wikitable"
+! Status >> Serial-COM !!
+|-
+| Link ||
+'''Enabled:''' Der COM-Port Server ist aktiviert
+'''Disabled''' Der COM-Port Server ist deaktiviert
+|-
+| TCP remote ||
+'''Waiting:''' Warten auf Verbindungsaufbaus des Clients
+'''xxx.xxx.xxx.xxx''' Bei aktiver Verbindung Anzeige der IP-Adresse des COM-Port Clients
+|-
+| Baud rate, Data bits, Parity, Stop bits, Flow control || Einstellungen der seriellen Schnittstelle
+|}
 == Routing Table ==
@@ Zeile 321: / Zeile 349: @@
 Im “Wireless Network”-Menü legen Sie Einstellungen für die Nutzung des Mobilfunknetzwerkes des Routers fest.
-[[Datei:Radio_Setup_LTE_NG.jpg| 600px |rahmenlos| Radio Setup]]
+[[Datei:Radio_Setup_LTE.jpg| 600px |rahmenlos| Radio Setup]]
 {| class="wikitable"
 ! Wireless Network >> Radio Setup !!
+|-
+| Frequency || Frequenzbereich für GPRS/EDGE mithilfe einer Dropdown-Liste auswählen
 |-
 | UMTS Freq. || Frequenzbereich für UMTS mithilfe einer Dropdown-Liste auswählen / UMTS kann auch deaktiviert werden
 |-
 | LTE Band || Frequenzband für LTE auswählen / LTE kann auch deaktiviert werden
+|-
+| Backup SIM || Zweite SIM-Karte kann für eine Backup-Mobilfunkverbindung genutzt werden
+* '''Disabled:''' Backup SIM nicht aktiv
+* '''Enabled:''' Wechsel auf Backup SIM nach Provider timeout, Zurückfallen auf Standard SIM nach Backup runtime
+* '''Always: ''' Backup SIM ständig aktiv
+* '''Input 1: ''' Umschaltung auf Backup SIM wenn Input 1 aktiv
+* '''Input 2: ''' Umschaltung auf Backup SIM wenn Input 2 aktiv
 |-
 | Provider Timeout || Zeit in Minuten für Aktivierung der Backup-SIM-Karte nach Ausfall der Primären
+|-
+| Backup Runtime || Laufzeit in Stunden der zweiten SIM-Karte
 |-
 | Daily Relogin || '''Disabled:''' Deaktivierung des täglichen Logins
-''' Enabled:''' Aktivierung des täglichen Logins
+''' Enabled:''' Aktivierung des täglichen Logins ( Primär vor Sekundär SIM )
 |-
-| Time || Zeitpunkt der Neuanmeldung des Routers in das Mobilfunknetz
+| Time || Zeitpunkt der Neuanmeldung des Routers in das Mobilfunknetz ( es erfolgt zunächst eine Abmeldung. Bei Neuanmeldung
+Primär vor Senkundär SIM )
 |}
@@ Zeile 341: / Zeile 382: @@
 "'''Europe (B3/B7/B20)"''' verwendet werden.
-== SMS Configuration ==
+== SIM und Backup SIM ==
-Sie können das Gerät per SMS fernbedienen.
-Klicken unter „SMS Control" auf Enable. Definieren Sie zum Schutz ein SMS-Passwort.
-Das Passwort kann bis zu 8 alphanumerische Zeichen enthalten.
-'''SMS-Syntax'''
+[[Datei:SIM_LTE.jpg| 600px |rahmenlos| SIM]]
-Die Steuerung erfolgt nach folgender SMS Syntax:
+{| class="wikitable"
-• Passwort
+! Wireless Network >> SIM !!
-• Funktionsbefehl
+|-
-• Zusätzliche Sub-Kommandos
+| Country || Auswahl des Landes, in dem der Router in das GSM-Netz eingewählt wird. (Schränkt die Auswahl unter dem Punkt "Provider" ein)
+|-
+| PIN || PIN-Eingabe
+|-
+| Roaming || '''Enabled:''' es besteht die Möglichkeit, dass der Router sich über ein fremdes Netz einwählen kann. Hierbei können je nach Vertrag zusätzliche Kosten entstehen
+'''Disabled:''' Deaktivierung des Roamings. Es wird automatisch das Heimatnetz des Providers genutzt. Sollte dies nicht möglich sein, kommt keine Verbindung zustande
+|-
+| Provider || Nur wenn das Roamings aktiviert ist, ist eine Auswahl möglich
+'''Auto:''' Automatische Auswahl des Providers
+|-
+| Credentials usage ||
-#<password>:<command>
+'''Package data (default):''' Abhängig von der Authorisierung des Providers
-<password> = ('A'-'Z', '0'-'9') // bis zu 7 alphanumerische Zeichen
-<command> = SET:<sub_cmd> // set command (ON)
+'''Registration and Package data:''' Abhängig von der Authorisierung des Providers
-<command> = CLR:<sub_cmd> // clear command (OFF)
+|-
-<sub_cmd> = GPRS  // Paketdatenverbindung starten oder stoppen
+| Username (wenn "Authentication" gewählt) || Benutzernamen für Paketdaten-Zugang (Providervorgabe)
-<sub_cmd> = OUTPUT // output set to ON/OFF
+|-
-<sub_cmd> = IPSEC // IPsec VPN-Kanal 1 ON/OFF
+| Password (wenn "Authentication" gewählt) || Passwort für Paketdaten-Zugang (Providervorgabe)
-<sub_cmd> = IPSEC:n // IPsec VPN-Kanal n ON/OFF, n={1..x}
+|-
-<sub_cmd> = OPENVPN // OpenVPN VPN-Kanal 1 ON/OFF
+| APN || Name des Anschlusspunktes im Paketdaten-Netzwerk (Providervorgabe)
-<sub_cmd> = OPENVPN:n // OpenVPN VPN-Kanal n ON/OFF, n={1..x}
+|-
+| Authentication || Wählen Sie die Protokolle für die Anmeldung beim Provider:
+'''None:''' Der APN des Providers erfordert keine Anmeldung (Voreinstellung)
+'''PAP only:''' Nur Password Authentication Protocol
-<command> = SEND:STATUS // send a status SMS to the caller
+'''CHAP only:''' Nur Challenge-Handshake Authentication Protocol
-<command> = RESET // reset all alarms
-<command> = REBOOT // Reboot des Routers
-'''Beispiel:'''
+'''PAP/CHAP:''' Password oder Challenge-Handshake Authentication Protocol
-Einschalten des Outputs 1 der I/O-Schnittstelle. Das (Beispiel-)Passwort lautet: „GEHEIM“.
+|}
-. Die SMS an die Rufnummer des Routers muss dann folgenden Inhalt haben: #GEHEIM:SET:OUTPUT:1
+== SMS Konfiguration und Steuerung ==
+Sie können das Gerät per SMS fernbedienen.
+Klicken unter „SMS Control" auf Enable. Definieren Sie zum Schutz ein SMS-Passwort.
+Das Passwort kann bis zu 8 alphanumerische Zeichen enthalten.
-. mit folgender SMS wird die IPsec Verbindung 1 aktiviert: 		#GEHEIM:SET:IPSEC:1
+'''SMS-Syntax'''
-und mit folgender SMS wieder ausgeschaltet:             		#GEHEIM:CLR:IPSEC:1
-mit folgender SMS wird die OpenVPN Verbindung 1 aktiviert: 	#GEHEIM:SET:OPENVPN:1
+Die Steuerung erfolgt nach folgender SMS Syntax:
-und mit folgender SMS wieder ausgeschaltet:             		#GEHEIM:CLR:OPENVPN:1
+<nowiki>#</nowiki><password>:<command>
-'''Weiterleitung einer SMS an einen Socket Server'''
+* Passwort
+* Funktionsbefehl
+* Zusätzliche Sub-Kommandos
-Der Router kann empfangene SMS Nachrichten an ein Endgerät über die Ethernet Schnittstelle weiterleiten. Auf dem Endgerät muss dafür ein Socket Server zum Empfang von XML-Dateien installiert sein.
-Klicken Sie Enable unter „SMS forward". Tragen Sie die Empfänger-IP-Adresse und den Port des Endgerätes ein, zu dem Sie kommunizieren möchten. Default-Wert für den Server ist Port 1432. Die empfangene SMS wird im folgenden Formatbeispiel weitergeleitet:
-'''Wichtiger Hinweis!!''' Die Rufnummer muss dem Router zur Identifizierung als Eintragung im Telefonbuch
+<password> = ('A'-'Z', '0'-'9') // bis zu 7 alphanumerische Zeichen
-bekannt sein.
-'''Beispiel:'''
+<command> = SET:<sub_cmd> // set command (ON)
+<command> = CLR:<sub_cmd> // clear command (OFF)
-<?xml version="1.0"?>
+<sub_cmd> = GPRS  // Paketdatenverbindung starten oder stoppen
-<cmgr origaddr="+49172123456789" timestamp="10/05/21,11:27:14+08">
-SMS message</cmgr>
-origaddr = Rufnummer des Absenders
-timestamp = Zeitstempel des Service Center im GSM 03.40 Format
-[[Datei:SMS_Configuration_LTE_NG.jpg| 600px |rahmenlos|SMS Configuration]]
+<sub_cmd> = OUTPUT // output set to ON/OFF
-{| class="wikitable"
+<sub_cmd> = IPSEC // IPsec VPN-Kanal 1 ON/OFF
-! Wireless Network >> SMS Configuration !!
-|-
-| SMS Control || '''Disabled:''' den Router per SMS steuern-deaktiviert
-'''Enabled:''' den Router per SMS stuern-akriviert
-|-
-| SMS Password || SMS-Passwort zum Steuern per SMS
-|-
-| SMS Forward || '''Disabled:''' SMS-Nachrichten über Ethernet weiterleiten-deaktiviert
-'''Enabled:''' SMS-Nachrichten über Ethernet weiterleiten-aktiviert
-|-
-| Server IP Address || Weiterleitung der SMS erfolgt an diese IP-Adresse
-|-
-| Server Port (default 1432) || Weiterleitung der SMS erfolgt an diesen Port
-|}
-== Packet Data Setup ==
+<sub_cmd> = IPSEC:n // IPsec VPN-Kanal n ON/OFF, n={1..x}
-[[Datei:Packet_Data_Setup_LTE_NG.jpg| 600px |rahmenlos| Packet Data Setup]]
+<sub_cmd> = OPENVPN // OpenVPN VPN-Kanal 1 ON/OFF
-{| class="wikitable"
+<sub_cmd> = OPENVPN:n // OpenVPN VPN-Kanal n ON/OFF, n={1..x}
-! Wireless Network >> Packet Data Setup !!
-|-
+<command> = SEND:STATUS // send a status SMS to the caller
-| Packet data || '''Disabled:''' Deaktivierung der Paketdaten-Verbindung
-'''Enabled:''' Aktivierung der Paketdaten-Verbindung/virtuelle dauerhafte Verbindung, erst bei tatsächlicher Datenübertragung ensteht Traffic
+<command> = RESET // reset all alarms
-|-
-| Packet data mode || '''default:''' Datenverbindung über NDIS Treiber
+<command> = REBOOT // Reboot des Routers
-'''PPP (Point to Point):''' Datenverbindung über Point to Point Protokoll
-|-
-| MTU (default 1500) || Maximale Paketgröße in Bytes
-|-
-| Enable IPv6 || IPv6 Adressen zulassen
-|-
-| Event || '''Initiate:''' automatischer Start der Paketdaten-Verbindung
-'''Initiate on SMS:''' Start per SMS Nachricht
-'''Initiate on XML:''' Start per XLM Skript
+'''Beispiel:'''
+Einschalten des Outputs 1 der I/O-Schnittstelle. Das (Beispiel-)Passwort lautet: „GEHEIM“.
-'''Initiate on Input #1...#2:''' manueller Start über Schalteingang
+Die SMS an die Rufnummer des Routers muss dann folgenden Inhalt haben:
-|-
+{|
-| Manual DNS || '''Disabled:''' Deaktivierung der manuellen DNS-Einstellung (DNS wird vom Provider empfangen)
+|Output einschalten:
-'''Enabled:''' Aktivierung der manuellen DNS-Einstellung
+|#GEHEIM:SET:OUTPUT:1
-|-
+|+
-| DNS Server || IP-Adresse, primärer DNS-Server im Mobilfunknetz
+|Output ausschalten:
-|-
+|#GEHEIM:CLEAR:OUTPUT:1
-| Sec. DNS Server || IP-Adresse sekundärer DNS-Server im Mobilfunknetz
+|+
+|IPsec Verbindung 1 aktivieren:
+|#GEHEIM:SET:IPSEC:1
+|+
+|IPsec Verbindung 1 deaktivieren:
+|#GEHEIM:CLR:IPSEC:1
+|+
+|OpenVPN Verbindung 1 aktivieren:
+|#GEHEIM:SET:OPENVPN:1
+|+
+|OpenVPN Verbindung 1 deaktivieren:
+|#GEHEIM:CLR:OPENVPN:1
 |}
-== Static Routes ==
-Mit statischen Routen können Sie alternative Routen für Datenpakete im Mobilfunknetz
+'''Weiterleitung einer SMS an einen Socket Server'''
-festlegen. Wenn die Einträge für Netzwerk und Gateway logisch nicht korrekt sind, werden
-die fehlerhaften Einträge mit einem roten Rahmen angezeigt.
+Der Router kann empfangene SMS Nachrichten an ein Endgerät über die Ethernet Schnittstelle weiterleiten. Auf dem Endgerät muss dafür ein Socket Server zum Empfang von XML-Dateien installiert sein.
+Klicken Sie Enable unter „SMS forward". Tragen Sie die Empfänger-IP-Adresse und den Port des Endgerätes ein, zu dem Sie kommunizieren möchten. Default-Wert für den Server ist Port 1432. Die empfangene SMS wird im folgenden Formatbeispiel weitergeleitet:
-[[Datei:Wireless_Static_Routes_LTE_NG.jpg| 600px |rahmenlos| Wireless Staic Routes]]
+'''Wichtiger Hinweis!!''' Die Rufnummer muss dem Router zur Identifizierung als Eintragung im Telefonbuch
+bekannt sein.
-{| class="wikitable"
+'''Beispiel:'''
-! Wireless Network >> Static Routes !!
-|-
-| Network || Netzwerk in CIDR-Form
-|-
-| Gateway || Gateway-Adresse des Netzwerkes
-|-
-| max. 8 Netzwerke eintragbar
-|}
-== DynDNS ==
+<?xml version="1.0"?>
-Die IP-Adresse des Routers im Internet wird dynamisch von dem Netzbetreiber zugewiesen. Über einen DynDNS-Anbieter kann der dynamischen IP-Adresse ein Name zugewiesen werden, über die der Router dann über das Internet erreicht werden kann. Auf dem Router muss entsprechend der DynDNS Client angelegt und aktiviert werden. Diese Funktion setzt eine Erreichbarkeit des Routers über den verwendeten Provider aus dem Internet voraus.
-[[Datei:DynDns_Setup_LTE_NG.jpg| 600px |rahmenlos| DynDns Setup]]
+<cmgr '''origaddr'''="+49172123456789" '''timestamp'''="10/05/21,11:27:14+08">'''''SMS message'''''</cmgr>
-{| class="wikitable"
+'''origaddr''' = Rufnummer des Absenders
-! Wireless Network >> DynDNS !!
-|-
-| Status || '''Enable/Disable:''' DynDNS aktivieren/deaktivieren
-'''Grünes Feld:''' DynDNS aktiv
+'''timestamp''' = Zeitstempel des Service Center im GSM 03.40 Format
-'''rotes Feld:''' DynDNS nicht aktiv
+[[Datei:SMS_Configuration_LTE_NG.jpg| 600px |rahmenlos|SMS Configuration]]
+{| class="wikitable"
+! Wireless Network >> SMS Configuration !!
 |-
-| DynDNS Provider || Auswahl des DynDNS-Anbieters
+| SMS Control || '''Disabled:''' den Router per SMS steuern-deaktiviert
+'''Enabled:''' den Router per SMS steuern-aktiviert
 |-
-| DynDNS Server || Wenn "Custom DynDNS" ausgewählt wird, muss hier der Servername eingetragen werden
+| SMS Password || SMS-Passwort zum Steuern per SMS
 |-
-| DynDNS Username || Benutzername des DynDNS-Accounts
+| SMS Forward || '''Disabled:''' SMS-Nachrichten über Ethernet weiterleiten-deaktiviert
+'''Enabled:''' SMS-Nachrichten über Ethernet weiterleiten-aktiviert
 |-
-| DynDNS Password || Passwort des DynDNS-Accounts
+| Server IP Address || Weiterleitung der SMS erfolgt an diese IP-Adresse
 |-
-| DynDNS Hostname || Hostname des Routers beim DynDNS-Service
+| Server Port (default 1432) || Weiterleitung der SMS erfolgt an diesen Port
 |}
-== Connection Check ==
+== Packet Data Setup ==
-Mit dem „Connection Check" kann eine kontinuierliche Verbindungsüberwachung der Daten-Verbindung zum Internet aktiviert werden. Bei einem Verbindungsverlust kann für einen neuen Verbindungsaufbau eine Aktion konfiguriert werden.
-[[Datei:Connection_Check_LTE_NG.jpg| 600px |rahmenlos| Connection Check]]
+[[Datei:Packet_Data_Setup_LTE_NG.jpg| 600px |rahmenlos| Packet Data Setup]]
 {| class="wikitable"
-! Wireless Network >> Connection Check !!
+! Wireless Network >> Packet Data Setup !!
 |-
-| Connection Check || '''Disabled:''' Deaktivierung der Verbindungsprüfung der Paketdaten-Verbindung
+| Packet data || '''Disabled:''' Deaktivierung der Paketdaten-Verbindung
+'''Enabled:''' Aktivierung der Paketdaten-Verbindung/virtuelle dauerhafte Verbindung, erst bei tatsächlicher Datenübertragung ensteht Traffic
-'''Enabled:''' Aktivierung der Verbindungsprüfung der Paketdaten-Verbindung
 |-
-| DNS Host || Der "Connection-Check" kann zusätzlich gegen den vom Provider vorgegebenen Nameserver durchgeführt werden
+| Packet data mode || '''default:''' Datenverbindung über NDIS Treiber
+'''PPP (Point to Point):''' Datenverbindung über Point to Point Protokoll
+|-
+| MTU (default 1500) || Maximale Paketgröße in Bytes
+|-
+| Enable IPv6 || IPv6 Adressen zulassen
+|-
+| Event || '''Initiate:''' automatischer Start der Paketdaten-Verbindung
-'''None:''' Kein "Connection-Check"
+'''Initiate on SMS:''' Start per SMS Nachricht
-'''DNS Server:''' Test gegen DNS Server
+'''Initiate on XML:''' Start per XLM Skript
-'''Sec. DNS Server:''' Test gegen DNS Host
+'''Initiate on Input #1...#2:''' manueller Start über Schalteingang
-'''ICMP:''' Test mit ICMP Ping
-'''TCP:''' Der "Connection-Check" mit dem TCP-Protokoll durchgeführt. In diesem Fall wird getestest ob eine Verbindung aufgebaut wird
 |-
-| Host #1...#3 || IP-Adresse oder Hostnamen als Referenzpunkt zur Verbiungsprüfung
+| Manual DNS || '''Disabled:''' Deaktivierung der manuellen DNS-Einstellung (DNS wird vom Provider empfangen)
+'''Enabled:''' Aktivierung der manuellen DNS-Einstellung
-'''Local:''' Aktivierung bei Adressen, die über einen VPN-Tunnel erreichbar sind
-'''ICMP/TCP:''' siehe oben (DNS Host ) bei TCP muss noch der Port eingetragen werden (z.B. 80 bei http, 443 bei HTTPS)
 |-
-| Check every || Es wird alle x Minuten die Verbindung überprüft
+| DNS Server || IP-Adresse, primärer DNS-Server im Mobilfunknetz
 |-
-| Max. retry || Maximale Anzahl der Verbindungsversuche bis "Activity" in Kraft tritt
+| Sec. DNS Server || IP-Adresse sekundärer DNS-Server im Mobilfunknetz
-|-
+|}
-| Activity || Bei Verbindungsabbruch eine der folgenden Aktionen ausführen:
+== Static Routes ==
-'''Reboot:''' Router Neustart
+Mit statischen Routen können Sie alternative Routen für Datenpakete im Mobilfunknetz
+festlegen. Wenn die Einträge für Netzwerk und Gateway logisch nicht korrekt sind, werden
+die fehlerhaften Einträge mit einem roten Rahmen angezeigt.
-'''Reconnect:''' Verbindung wird erneut versucht aufzubauen
+[[Datei:Wireless_Static_Routes_LTE_NG.jpg| 600px |rahmenlos| Wireless Staic Routes]]
-'''Relogin:''' Mobilfunkengine wird heruntergefahren und es erfolgt erneuter Verbindungsaufbau-Versuch mit Login
+{| class="wikitable"
+! Wireless Network >> Static Routes !!
-'''None:''' keine Aktion wird ausgeführt
+|-
+| Network || Netzwerk in CIDR-Form
+|-
+| Gateway || Gateway-Adresse des Netzwerkes
+|-
+| max. 8 Netzwerke eintragbar
 |}
-= Device Services =
+== DynDNS ==
+Die IP-Adresse des Routers im Internet wird dynamisch von dem Netzbetreiber zugewiesen. Über einen DynDNS-Anbieter kann der dynamischen IP-Adresse ein Name zugewiesen werden, über die der Router dann über das Internet erreicht werden kann. Auf dem Router muss entsprechend der DynDNS Client angelegt und aktiviert werden. Diese Funktion setzt eine Erreichbarkeit des Routers über den verwendeten Provider aus dem Internet voraus.
-== Web Setup ==
+[[Datei:DynDns_Setup_LTE_NG.jpg| 600px |rahmenlos| DynDns Setup]]
-=== Web Configuration ===
-[[Datei:Web_Configuration_LTE_NG.jpg| 600px |rahmenlos| Web Configuration]]
 {| class="wikitable"
-! Device services >> Web setup >> Configuration !!
+! Wireless Network >> DynDNS !!
 |-
-| Web server access || '''http:''' Nur http
+| Status || '''Enable/Disable:''' DynDNS aktivieren/deaktivieren
-'''https:''' Nur https
+'''Grünes Feld:''' DynDNS aktiv
-'''local http, https:''' Lokal http, extern https
+'''rotes Feld:''' DynDNS nicht aktiv
+|-
+| DynDNS Provider || Auswahl des DynDNS-Anbieters
+|-
+| DynDNS Server || Wenn "Custom DynDNS" ausgewählt wird, muss hier der Servername eingetragen werden
+|-
+| DynDNS Username || Benutzername des DynDNS-Accounts
 |-
-| Server port (Default 80) || Einstellung des Ports für das Web based management
+| DynDNS Password || Passwort des DynDNS-Accounts
 |-
-| '''Certificate supject''' || Basisdaten für Zertifikatserstellung
+| DynDNS Hostname || Hostname des Routers beim DynDNS-Service
 |}
-=== Web Certificates ===
+== Connection Check ==
-[[Datei:Web_Certificates_LTE_NG.jpg| 600px |rahmenlos| Web Certificates]]
+Mit dem „Connection Check" kann eine kontinuierliche Verbindungsüberwachung der Daten-Verbindung zum Internet aktiviert werden. Bei einem Verbindungsverlust kann für einen neuen Verbindungsaufbau eine Aktion konfiguriert werden.
+[[Datei:Connection_Check_LTE_NG.jpg| 600px |rahmenlos| Connection Check]]
 {| class="wikitable"
-!  Device sevices >> Web setup >> Certificates  !!
+! Wireless Network >> Connection Check !!
 |-
-| Load own PKCS#12 certificate || Upload PKCS#12 Zertifikat
+| Connection Check || '''Disabled:''' Deaktivierung der Verbindungsprüfung der Paketdaten-Verbindung
-|-
-| Load CA signed certificate with CA chain || Upload CA signiertes Zertifikat
-|}
-=== Web Server Firewall ===
+'''Enabled:''' Aktivierung der Verbindungsprüfung der Paketdaten-Verbindung
-[[Datei:Web_Server_Firewall_LTE_NG.jpg| 800px |rahmenlos| Web Server Firewall]]
+|-
+| DNS Host || Der "Connection-Check" kann zusätzlich gegen den vom Provider vorgegebenen Nameserver durchgeführt werden
+'''None:''' Kein "Connection-Check"
+'''DNS Server:''' Test gegen DNS Server
+'''Sec. DNS Server:''' Test gegen DNS Host
+'''ICMP:''' Test mit ICMP Ping
-{| class="wikitable"
+'''TCP:''' Der "Connection-Check" mit dem TCP-Protokoll durchgeführt. In diesem Fall wird getestest ob eine Verbindung aufgebaut wird
-! Devices Services >> Web Setup >> Firewall !!
 |-
-| '''Incoming local traffic (Policy: Accept)'''
+| Host #1...#3 || IP-Adresse oder Hostnamen als Referenzpunkt zur Verbiungsprüfung
-|-
-| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
-|-
-| Action || '''Accept:''' Datenpakete werden angenommen
-'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
+'''Local:''' Aktivierung bei Adressen, die über einen VPN-Tunnel erreichbar sind
-'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+'''ICMP/TCP:''' siehe oben (DNS Host ) bei TCP muss noch der Port eingetragen werden (z.B. 80 bei http, 443 bei HTTPS)
 |-
-| Comment || Kommentar
+| Check every || Es wird alle x Minuten die Verbindung überprüft
 |-
-| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+| Max. retry || Maximale Anzahl der Verbindungsversuche bis "Activity" in Kraft tritt
-'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| '''Incoming external traffic (Policy: Drop)'''
+| Activity || Bei Verbindungsabbruch eine der folgenden Aktionen ausführen:
-|-
-| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
-|-
-| Action || '''Accept:''' Datenpakete werden angenommen
-'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
+'''Reboot:''' Router Neustart
-'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+'''Reconnect:''' Verbindung wird erneut versucht aufzubauen
-|-
-| Comment || Kommentar
-|-
-| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
-'''No:''' Aktivierung der Regel wird nicht protokolliert
+'''Relogin:''' Mobilfunkengine wird heruntergefahren und es erfolgt erneuter Verbindungsaufbau-Versuch mit Login
-|-
+'''None:''' keine Aktion wird ausgeführt
+|}
-|}
+= Device Services =
-== SSH Setup ==
+== Web Setup ==
-=== SSH Configuration ===
+=== Web Configuration ===
-[[Datei:SSH_Setup_Configuration_LTE_NG.jpg| 600px |rahmenlos| SSH Setup Configuration]]
+[[Datei:Web_Configuration_LTE_NG.jpg| 600px |rahmenlos| Web Configuration]]
 {| class="wikitable"
-!  Devices Services >> SSH Setup >> Configuration  !!
+! Device services >> Web setup >> Configuration !!
 |-
-| SSH server|| ''' Disabled: ''' deaktivert
+| Web server access || '''http:''' Nur http
-''' Enabled:''' aktivert
+'''https:''' Nur https
+'''local http, https:''' Lokal http, extern https
+|-
+| Server port (Default 80) || Einstellung des Ports für das Web based management
 |-
-|Server port (default 22) || Einstellung des SSH Ports
+| '''Certificate supject''' || Basisdaten für Zertifikatserstellung
 |}
-=== SSH Firewall ===
+=== Web Certificates ===
+[[Datei:Web_Certificates_LTE_NG.jpg| 600px |rahmenlos| Web Certificates]]
+{| class="wikitable"
+!  Device sevices >> Web setup >> Certificates  !!
+|-
+| Load own PKCS#12 certificate || Upload PKCS#12 Zertifikat
+|-
+| Load CA signed certificate with CA chain || Upload CA signiertes Zertifikat
+|}
-[[Datei:SSH_Setup_Firewall_LTE_NG.jpg| 800px |rahmenlos| SSH Firewall]]
+=== Web Server Firewall ===
+[[Datei:Web_Server_Firewall_LTE_NG.jpg| 800px |rahmenlos| Web Server Firewall]]
 {| class="wikitable"
-! Devices Services >> SSH setup >> Firewall !!
+! Devices Services >> Web Setup >> Firewall !!
 |-
 | '''Incoming local traffic (Policy: Accept)'''
@@ Zeile 664: / Zeile 715: @@
 '''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
 |}
-== SNMP Setup ==
+== SSH Setup ==
-=== SNMP Setup Configuration ===
+=== SSH Configuration ===
-Der Router unterstützt das Auslesen von Informationen über SNMP (Simple Network Management Protocol).
+[[Datei:SSH_Setup_Configuration_LTE_NG.jpg| 600px |rahmenlos| SSH Setup Configuration]]
-SNMP ist ein Netzwerkprotokoll, mit dem Sie Netzwerkelemente von einer zentralen Station aus überwachen und steuern können.
-Das Protokoll regelt die Kommunikation zwischen den überwachten Geräten und der zentralen Station.
+{| class="wikitable"
+!  Devices Services >> SSH Setup >> Configuration  !!
+|-
+| SSH server|| ''' Disabled: ''' deaktivert
+''' Enabled:''' aktivert
+|-
+|Server port (default 22) || Einstellung des SSH Ports
+|}
+=== SSH Firewall ===
-[[Datei:SNMP_Setup_Configuration_LTE_NG_2.jpg| 600px |rahmenlos| SNMP Setup Configuration]]
+[[Datei:SSH_Setup_Firewall_LTE_NG.jpg| 800px |rahmenlos| SSH Firewall]]
 {| class="wikitable"
-!  Devices Services >> SNMP Setup >> Configuration   !!
+! Devices Services >> SSH setup >> Firewall !!
+|-
+| '''Incoming local traffic (Policy: Accept)'''
 |-
-|'''System information''' ||
+| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
 |-
-|Show in Sidebar ||'''No:''' Keine Anzeige der "System Information" in der Sidebar oben links
+| Action || '''Accept:''' Datenpakete werden angenommen
+'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
-'''Yes:''' Anzeige der "System Information" in der Sidebar oben links
+'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
 |-
-|Name of device || Name für Verwaltungszwecke, frei definierbar
+| Comment || Kommentar
 |-
-|Description || Beschreibung des Routers
+| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| Physical location || Bezeichnung des Installationsortes, frei definierbar
+| '''Incoming external traffic (Policy: Drop)'''
 |-
-| Contact || Kontaktperson, die für den Router zuständig ist
+| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
 |-
-| '''SNMPv1/2/3 community''' ||
+| Action || '''Accept:''' Datenpakete werden angenommen
-|-
-| Enable SNMPv1/2 access || '''No:''' Der Dienst ist deaktiviert (Voreinstellung)
+'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
-'''Yes:''' Sie nutzen SNMP Version 1 und Version 2
+'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
 |-
-| Read only || Passwort für den Lesezugriff über SNMP
+| Comment || Kommentar
 |-
-| Read and write || Passwort für den Schreib- und Lesezugriff über SNMP
+| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| Enable SNMPv3access ||'''No:''' Der Dienst ist deaktiviert (Voreinstellung)
+|}
+== SNMP Setup ==
+=== SNMP Setup Configuration ===
+Der Router unterstützt das Auslesen von Informationen über SNMP (Simple Network Management Protocol).
+SNMP ist ein Netzwerkprotokoll, mit dem Sie Netzwerkelemente von einer zentralen Station aus überwachen und steuern können.
+Das Protokoll regelt die Kommunikation zwischen den überwachten Geräten und der zentralen Station.
-'''Yes:''' Sie nutzen SNMP Version 3
-|-
-| '''Trap configuration'''
-|-
-|Trap manager IP adress || IP Adresse des SNMP Servers
-|-
-| Port ||Port des SNMP Servers
-|-
-| Target community || Passwort
-|-
-| Sending Traps|| Traps senden erlauben / blockieren
-|}
-=== SNMP Setup Firewall ===
+[[Datei:SNMP_Setup_Configuration_LTE_NG_2.jpg| 600px |rahmenlos| SNMP Setup Configuration]]
-[[Datei:SNMP_Setup_Firewall_LTE_NG.jpg| 800px |rahmenlos| SNMP Firewall]]
 {| class="wikitable"
-! Devices Services >> SNMP setup >> Firewall !!
+!  Device Services >> SNMP Setup >> Configuration   !!
 |-
-| '''Incoming local traffic (Policy: Accept)'''
+|'''System information''' ||
 |-
-| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
+|Show in Sidebar ||'''No:''' Keine Anzeige der "System Information" in der Sidebar oben links
-|-
-| Action || '''Accept:''' Datenpakete werden angenommen
-'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
+'''Yes:''' Anzeige der "System Information" in der Sidebar oben links
-'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
 |-
-| Comment || Kommentar
+|Name of device || Name für Verwaltungszwecke, frei definierbar
+|-
+|Description || Beschreibung des Routers
 |-
-| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+| Physical location || Bezeichnung des Installationsortes, frei definierbar
-'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| '''Incoming external traffic (Policy: Drop)'''
+| Contact || Kontaktperson, die für den Router zuständig ist
 |-
-| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
+| '''SNMPv1/2/3 community''' ||
 |-
-| Action || '''Accept:''' Datenpakete werden angenommen
+| Enable SNMPv1/2 access || '''No:''' Der Dienst ist deaktiviert (Voreinstellung)
-'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
+'''Yes:''' Sie nutzen SNMP Version 1 und Version 2
+|-
-'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+| Read only || Passwort für den Lesezugriff über SNMP
 |-
-| Comment || Kommentar
+| Read and write || Passwort für den Schreib- und Lesezugriff über SNMP
 |-
-| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+| Enable SNMPv3access ||'''No:''' Der Dienst ist deaktiviert (Voreinstellung)
-'''No:''' Aktivierung der Regel wird nicht protokolliert
+'''Yes:''' Sie nutzen SNMP Version 3
 |-
-|}
+| '''Trap configuration'''
-== Socket Server ==
-=== Socket Server Configuration ===
-[[Datei:Socket_Server_Configuration_LTE_NG.jpg| 600px |rahmenlos| Socket Server Configuration]]
-{| class="wikitable"
-! Device Services >> Socket Server >> Configuration !!
 |-
-| Socket server || '''Disabled:''' deaktiviert
+|Trap manager IP adress || IP Adresse des SNMP Servers
-'''Enabled:''' aktiviert
 |-
-| Server port (Default 1432) || Einstellung des Serverports
+| Port ||Port des SNMP Servers
 |-
-| XML newline char || None, LF, CR, CR+LF
+| Target community || Passwort
 |-
-| XML bool values || Verbose oder Numeric
+| Sending Traps|| Traps senden erlauben / blockieren
 |}
-=== Socket Server Firewall ===
+=== SNMP Setup Firewall ===
+[[Datei:SNMP_Setup_Firewall_LTE_NG.jpg| 800px |rahmenlos| SNMP Firewall]]
-[[Datei:Socket_Server_Firewall_LTE_NG.jpg| 800px |rahmenlos| Socket-Server Firewall]]
 {| class="wikitable"
-! Devices Services >> Socket server >> Firewall !!
+! Devices Services >> SNMP setup >> Firewall !!
 |-
 | '''Incoming local traffic (Policy: Accept)'''
@@ Zeile 821: / Zeile 869: @@
 |}
-= Network Security =
+== COM Server Setup ==
-In diesem „Network Security”-Menü nehmen Sie Einstellungen zu der Netzwerksicherheit vor.
-== General Setup ==
+Diese Funktionen werden unterstützt von:
+* CT-Router 4-Port LTE CAT1 + RS232, Artikelnummer: 620-10
+* CT-Router 4-Port LTE CAT4 + RS232, Artikelnummer: 621-10
+=== COM Server Setup Configuration ===
-[[Datei:Network_Security_Setup_LTE_NG.jpg| 600px |rahmenlos| Network Security Setup]]
+[[Datei:Serial_Com_LTE.jpg| 600px |rahmenlos| Serial Com]]
 {| class="wikitable"
-! Network Security >> General Setup !!
+!  Devices Services >> COM Server Setup >> Configuration   !!
 |-
-| Traffic forwarding || '''Disabled:''' Port-Weiterleitungen vom Mobilfunknetz in das lokale Netz deaktiviert (Voreinstellung)
+|Status || '''Enabled:''' aktiviert
-'''Port forwarding:''' Port-Weiterleitungen vom Mobilfunknetz in das lokale Netz aktiviert
+'''Disabled:''' deaktivert
+|-
+|Connection type || '''Server Raw:''' Com Port Server mit RAW Übertragung
-'''Exposed host:''' Weiterleitung des vollständigen Datenverkehrs aus dem Mobilfunknetz zu einem Ethernet-Gerät im lokalem Netz aktiviert. Diesen Zugriff können Sie nicht er Firewall im Mobilfunknetz-Router einschränken
+'''Server RFC2217:''' Com Port Server mit Übertragung nach RFC2217 (Telnet)
-|-
-| Block outgoing netbios || Netbios-Anfragen gehen von Windows-Systemen im lokalen Netzwerk aus und verursachen einen erhöhten Datenverkehr
-'''Disabled:''' Netbios-Anfragen werden erlaubt
+'''Client Raw:''' Com Port Client mit Raw Übertragung
-'''Enabled:''' Netbios-Anfragen werden geblockt
+'''Client IP-Telemetry''' Com Port Client an IP-Telemetry Server (DIN 43863-4)
+|-
+|Server port (default 3001 || Einstellung des Server-Ports
+|-
+| Baud rate|| Auswahl der Baudrate
+|-
+| Data bits|| Auswahl der Datenbits (7 oder 8)
 |-
-| DNS service || '''Disabled:''' DNS-Anfragen werden geblockt
+| Parity || Auswahl Parity (None, Even, Odd)
-'''Enabled:''' DNS-Anfragen werden erlaubt
 |-
-| Drop invalid packets || Die Firewall des Mobilfunk-Routers kann ungültige oder beschädigte IP-Pakete filtern und verwerfen
+| Stop bits || Auswahl Stopbits (1 oder 2)
-'''Disabled:''' Auch ungültige IP-Pakete werden versendet
-'''Enabled:''' Ungültige IP-Pakete werden verworfen (Voreinstellung)
 |-
-| External ping (ICMP) || Ping-Anfragen prüfen, ob ein Gerät im Netzwerk errichbar ist. Dadurch erhöht sich der Datenverkehr
+| Flow Control || Auswahl Flusskontrolle (None, RTS/CTS, XON/XOFF, Optional: RS485 RTS)
-'''Disabled:''' Ping-Anfragen aus dem externen IP-Netz werden nicht beantwortet
-'''Enabled:''' Ping-Anfragen aus dem externen IP-Netz werden beantwortet
 |-
+| Flush trasmit buffer || aktivieren oder deaktivieren
+|}
-| External NAT (Masquerade) || Der Router kann bei ausgehenden Datenpaketen die angegebenen Absender-IP-Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben. Diese Methode wird benutzt, wenn die internen Adressen extern nicht geroutet werden. Das ist z. B. der Fall, wenn Sie einen privaten Adressbereich wie 192.168.x.x verwenden. Dieses Verfahren wird IP-Masquerading genannt
+=== COM Server Firewall ===
-'''Disabled:''' IP-Masquerading deaktiviert
-'''Enabled:''' IP-Masquerading ist aktiviert. Sie können aus einem privaten, lokalen Netz ins Internet kommunizieren
+[[Datei:COM_Server_Firewall_LTE.jpg| 800px |rahmenlos| COM-Server Firewall]]
-|-
-| Connection Tracking NAT ||
-'''Disabled:''' Connection Tracking NAT deaktiviert
-'''Enabled:''' Connection Tracking NAT aktiviert
+{| class="wikitable"
+! Devices Services >> COM server setup >> Firewall !!
 |-
-|}
+| '''Incoming local traffic (Policy: Accept)'''
-== Firewall (Stateful Packet Inspection Firewall) ==
-Das Gerät enthält eine Stateful-Packet-Inspection-Firewall. Die Verbindungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst (connection tracking). Dadurch müssen Sie die Regeln nur für eine Richtung definieren. Dann werden die Daten aus der anderen Richtung der jeweiligen Verbindung, und nur aus dieser, automatisch durchgelassen.
-Im Auslieferungszustand ist die Firewall aktiv. Sie blockt den eingehenden Datenverkehr (incoming traffic) und gestattet lediglich ausgehenden Datenverkehr (outgoing traffic). Das Gerät unterstützt je maximal 32 Regeln für lokalen und externen Zugriff.
-[[Datei:Firewall_LTE_NG.jpg| 1000px |rahmenlos| Firewall]]
-{| class="wikitable"
-! Network Security >> Firewall !!
 |-
-| '''Incoming Traffic'''
+| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
-|-
-| Protocol || Protokollauswahl: TCP, UDP, ICMP, all
-|-
-| From IP / To IP || 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich
-anzugeben, benutzen Sie die CIDR-Schreibweise (siehe
-„CIDR (Classless Inter-Domain Routing)“ auf Seite 65)
-|-
-| From Port / To Port || (Wird nur bei den Protokollen TCP und UDP ausgewertet)
-* any: jeder beliebige Port
-* startport-endport: ein Port-Bereich (z.B. 110-120)
 |-
 | Action || '''Accept:''' Datenpakete werden angenommen
@@ Zeile 900: / Zeile 925: @@
 '''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
-'''Drop:''' Datenpakete werden "fallen gelassen" d.h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+|-
+| Comment || Kommentar
 |-
 | Log || '''Yes:''' Aktivierung der Regel wird protokolliert
@@ Zeile 906: / Zeile 933: @@
 '''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| New / Delete || Neue Regel aufstellen / bestehende Regel löschen
+| '''Incoming external traffic (Policy: Drop)'''
+|-
+| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
+|-
+| Action || '''Accept:''' Datenpakete werden angenommen
+'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
+'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+|-
+| Comment || Kommentar
+|-
+| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
-Mit den Pfeilen können Regeln nach oben oder unten verschoben werden
+'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| '''Outgoing Traffic''' || Verhält sich ähnlich zum „Incoming Traffic“, jedoch beziehen sich diese Regeln auf den ausgehenden Datenverkehr.
-Ist keine Regel vorhanden, so sind alle ausgehenden Verbindungen verboten (mit Ausnahme von VPN-Verbindungen)
 |}
-''' Wenn mehrere Firewall-Regeln gesetzt sind, werden diese in der Reihenfolge der Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann angewendet. Wenn in der Regelliste weitere Regeln vorhanden sein sollten, die auch passen würden, werden diese ignoriert.'''
+== Socket Server ==
+=== Socket Server Configuration ===
+[[Datei:Socket_Server_Configuration_LTE_NG.jpg| 600px |rahmenlos| Socket Server Configuration]]
-== IP and port forwarding ==
+{| class="wikitable"
+! Device Services >> Socket Server >> Configuration !!
+|-
+| Socket server || '''Disabled:''' deaktiviert
+'''Enabled:''' aktiviert
+|-
+| Server port (Default 1432) || Einstellung des Serverports
+|-
+| XML newline char || None, LF, CR, CR+LF
+|-
+| XML bool values || Verbose oder Numeric
+|}
+=== Socket Server Firewall ===
-Die Tabelle enthält die festgelegten Regeln für Port- und IP-Weiterleitungen. Das Gerät hat
-genau eine IP-Adresse, über die von außen zugegriffen werden kann. Das Gerät kann bei
-eingehenden Datenpaketen die in ihnen angegebenen Absender-IP-Adressen auf interne
-Adressen umschreiben. Diese Technik wird als NAT (Network Address Translation) bezeichnet.
-Über die Port-Nummer können die Datenpakete auf Ports interner IP-Adressen
-umgeleitet werden.
-Das Gerät unterstützt maximal 64 Regeln für die Port-Weiterleitung.
-[[Datei:IP_And_Port_Forwarding_LTE_NG.jpg| 1000px |rahmenlos| IP and Forwarding]]
+[[Datei:Socket_Server_Firewall_LTE_NG.jpg| 800px |rahmenlos| Socket-Server Firewall]]
 {| class="wikitable"
-! Network Security >> Port Forwarding !!
+! Devices Services >> Socket server >> Firewall !!
 |-
-| Protocol || Auswahl: TCP / UDP / ICMP
+| '''Incoming local traffic (Policy: Accept)'''
 |-
-| From IP || 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich
+| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
-anzugeben, benutzen Sie die CIDR-Schreibweise
 |-
-| In Port || Wird nur bei den Protokollen TCP und UDP ausgewertet
+| Action || '''Accept:''' Datenpakete werden angenommen
-'''Port Nr.'''
+'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
-'''any:''' jeder beliebige Port
+'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+|-
+| Comment || Kommentar
+|-
+| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
-'''startport-endport:''' ein Port-Bereich (z.B. 100...150)
+'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| To IP || IP-Adresse aus dem lokalen Netzwerk, ankommenden Pakete
+| '''Incoming external traffic (Policy: Drop)'''
-werden an diese Adresse weitergeleitet
 |-
-| To Port || siehe "In Port"
+| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
 |-
-| Masq || Für jede einzelne Regel können Sie festlegen, ob IP-Masquerading
+| Action || '''Accept:''' Datenpakete werden angenommen
-angewendet werden soll
-'''Yes:''' : IP-Masquerading aktiviert, ankommende Pakete aus dem Internet erhalten die IP-Adresse des Routers. Antwort ins Internet ist möglich, auch ohne Default-Gateway
+'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
-'''No:''' Antwort ins Internet nur mit Default-Gateway (Defaulteinstellung)
+'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+|-
+| Comment || Kommentar
 |-
-| Log || Für jede einzelne Regel können Sie festlegen, ob bei Greifen
+| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
-der Regel das Ereignis protokolliert werden soll
-'''Yes:''' Ereignis wird protokolliert
+'''No:''' Aktivierung der Regel wird nicht protokolliert
+|-
-'''No:''' Ereignis wird nicht protokolliert (Defaulteinstellung)
 |}
-== Exposed host (Server einrichten) ==
+= Network Security =
+In diesem „Network Security”-Menü nehmen Sie Einstellungen zu der Netzwerksicherheit vor.
+== General Setup ==
-[[Datei:Exposed_Host_LTE_NG.jpg| 600px |rahmenlos| Exposed Host]]
+[[Datei:Network_Security_Setup_LTE.jpg| 600px |rahmenlos| Network Security Setup]]
 {| class="wikitable"
-! Network Security >> Exposed host !!
+! Network Security >> General Setup !!
 |-
-| '''local exposed host''' || IP-Adresse des Exposed Host (Server)
+| Traffic forwarding || '''Disabled:''' Port-Weiterleitungen vom Mobilfunknetz in das lokale Netz deaktiviert (Voreinstellung)
-|-
-| Allow external access from || IP-Adressen für eingehende Datenverbindungen
-.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich
-anzugeben, benutzen Sie die CIDR-Schreibweise
-|-
-| Masquerade traffic to  exposed host || Legen Sie fest, ob IP-Masquerading angewendet werden soll
-'''Enabled:''' IP-Masquerading aktiviert, ankommende Pakete aus dem Internet erhalten die
+'''Port forwarding:''' Port-Weiterleitungen vom Mobilfunknetz in das lokale Netz aktiviert
-IP-Adresse des Routers. Antwort ins Internet ist möglich, auch ohne Default-Gateway
-'''Disabled:''' Antwort ins Internet nur mit Default-Gateway (Defaulteinstellung)
+'''Exposed host:''' Weiterleitung des vollständigen Datenverkehrs aus dem Mobilfunknetz zu einem Ethernet-Gerät im lokalem Netz aktiviert. Diesen Zugriff können Sie nicht er Firewall im Mobilfunknetz-Router einschränken
 |-
-| Log traffic to exposed host || Legen Sie fest, ob IP-Verbindungen protokolliert werden
+| Block outgoing netbios || Netbios-Anfragen gehen von Windows-Systemen im lokalen Netzwerk aus und verursachen einen erhöhten Datenverkehr
-'''Enabled:''' IP-Verbindungen werden protokolliert
+'''Disabled:''' Netbios-Anfragen werden erlaubt
-'''Disabled:''' IP-Verbindungen werden nicht protokolliert (Defaulteinstellung)
+'''Enabled:''' Netbios-Anfragen werden geblockt
-|}
+|-
+| DNS service || '''Disabled:''' DNS-Anfragen werden geblockt
-== Masquerading ==
+'''Enabled:''' DNS-Anfragen werden erlaubt
+|-
+| Drop invalid packets || Die Firewall des Mobilfunk-Routers kann ungültige oder beschädigte IP-Pakete filtern und verwerfen
+'''Disabled:''' Auch ungültige IP-Pakete werden versendet
-Sie können für bestimmte Netze festlegen, ob IP-Masquerading angewendet werden soll.
+'''Enabled:''' Ungültige IP-Pakete werden verworfen (Voreinstellung)
-Wenn IP-Masquerading aktiviert ist, erhalten alle ankommenden Pakete aus dem Internet
+|-
-die IP-Adresse des Routers. Die Antwort in die konfigurierten Netze ist auch ohne Default-
+| External ping (ICMP) || Ping-Anfragen prüfen, ob ein Gerät im Netzwerk errichbar ist. Dadurch erhöht sich der Datenverkehr
-Gateway möglich.
-Das Gerät unterstützt maximal 16 Regeln für IP-Masquerading.
-'''From IP 0.0.0.0/0''' bedeutet alle IP-Adressen.
+'''Disabled:''' Ping-Anfragen aus dem externen IP-Netz werden nicht beantwortet
-Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe
-„CIDR (Classless Inter-Domain Routing)“)
-[[Datei:Masquerading_LTE_NG.jpg| 600px |rahmenlos|Masquerading]]
+'''Enabled:''' Ping-Anfragen aus dem externen IP-Netz werden beantwortet
+|-
-= VPN =
+| External NAT (Masquerade) || Der Router kann bei ausgehenden Datenpaketen die angegebenen Absender-IP-Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben. Diese Methode wird benutzt, wenn die internen Adressen extern nicht geroutet werden. Das ist z. B. der Fall, wenn Sie einen privaten Adressbereich wie 192.168.x.x verwenden. Dieses Verfahren wird IP-Masquerading genannt
-Im Menü VPN können Sie einerseits Einstellungen zur Internet Protocol Security ('''IPsec''') andererseits zum virtuellen privaten Netzwerk ('''OpenVPN''') vornehmen.
+'''Disabled:''' IP-Masquerading deaktiviert
-Für eine VPN-Verbindung müssen die IP-Adressen der VPN-Gegenstellen bekannt und adressierbar sein.
+'''Enabled:''' IP-Masquerading ist aktiviert. Sie können aus einem privaten, lokalen Netz ins Internet kommunizieren
+|-
+|}
-== IPsec ==
+== Firewall (Stateful Packet Inspection Firewall) ==
-Die VPN-Gegenstelle muss IPsec mit folgender Konfiguration unterstützen:
+Das Gerät enthält eine Stateful-Packet-Inspection-Firewall. Die Verbindungsdaten einer aktiven Verbindung werden in einer Datenbank erfasst (connection tracking). Dadurch müssen Sie die Regeln nur für eine Richtung definieren. Dann werden die Daten aus der anderen Richtung der jeweiligen Verbindung, und nur aus dieser, automatisch durchgelassen.
-* 	Authentifizierung über X.509-Zertifikate oder Preshared Secret Key (PSK)
+Im Auslieferungszustand ist die Firewall aktiv. Sie blockt den eingehenden Datenverkehr (incoming traffic) und gestattet lediglich ausgehenden Datenverkehr (outgoing traffic). Das Gerät unterstützt je maximal 32 Regeln für lokalen und externen Zugriff.
-* 	ESP
-* 	Diffie-Hellman Gruppe 2 oder 5
-* 	3DES oder AES encryption
-* 	MD5 oder SHA-1 Hash Algorithmen
-* 	Tunnel-Modus
-* 	Quick Mode
-* 	Main Mode
-*      SA Lifetime (1 Sekunde bis 24 Stunden)
-=== Connections ===
+[[Datei:Firewall_LTE_NG.jpg| 1000px |rahmenlos| Firewall]]
-[[Datei:IPsec_Connections_LTE_NG.jpg| 600px |rahmenlos| IPsec Connections]]
 {| class="wikitable"
-! VPN >> IPsec >> Connections !!
+! Network Security >> Firewall !!
+|-
+| '''Incoming Traffic'''
 |-
-| Monitor DynDNS || VPN-Gegenstelle hat keine feste IP und als Remote Host wird ein DynDNS-Name genutzt, so kann diese Funktion aktiviert werden, um die Verbindung zu überprüfen
+| Protocol || Protokollauswahl: TCP, UDP, ICMP, all
 |-
-| Check Interval || Prüfintervall in Sekunden
+| From IP / To IP || 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich
+anzugeben, benutzen Sie die CIDR-Schreibweise (siehe
+„CIDR (Classless Inter-Domain Routing)“ auf Seite 65)
 |-
-| IKE Logging Level || Einstellung des Logging Levels
+| From Port / To Port || (Wird nur bei den Protokollen TCP und UDP ausgewertet)
-'''0:''' Very basic auditing logs
-'''1:''' Generic control flow with errors, a good default to see whats going on
+* any: jeder beliebige Port
+* startport-endport: ein Port-Bereich (z.B. 110-120)
-'''2:''' More detailed debugging control flow
 |-
-| Enable || VPN-Verbindung aktivieren (=Yes) oder deaktivieren (=No)
+| Action || '''Accept:''' Datenpakete werden angenommen
+'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
+'''Drop:''' Datenpakete werden "fallen gelassen" d.h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
 |-
-| Name || Name der VPN-Verbindung festlegen
+| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| Settings || Einstellungen für IPsec
+| New / Delete || Neue Regel aufstellen / bestehende Regel löschen
+Mit den Pfeilen können Regeln nach oben oder unten verschoben werden
 |-
-| IKE || Einstellungen für das Internet-Key-Exchange-Protokoll
+| '''Outgoing Traffic''' || Verhält sich ähnlich zum „Incoming Traffic“, jedoch beziehen sich diese Regeln auf den ausgehenden Datenverkehr.
-|-
+Ist keine Regel vorhanden, so sind alle ausgehenden Verbindungen verboten (mit Ausnahme von VPN-Verbindungen)
-| Firewall || Einstellungen für IPsec Firewall
 |}
-==== Connections Settings ====
+''' Wenn mehrere Firewall-Regeln gesetzt sind, werden diese in der Reihenfolge der Einträge von oben nach unten abgefragt, bis eine passende Regel gefunden wird. Diese wird dann angewendet. Wenn in der Regelliste weitere Regeln vorhanden sein sollten, die auch passen würden, werden diese ignoriert.'''
-[[Datei:IPsec_Connection_Settings_LTE_NG.jpg| 600px |rahmenlos| IPsec Connection Settings]]
+== IP and port forwarding ==
-{| class="wikitable"
+Die Tabelle enthält die festgelegten Regeln für Port- und IP-Weiterleitungen. Das Gerät hat
-! VPN >> IPsec >> Connections >> Settings >> Edit !!
+genau eine IP-Adresse, über die von außen zugegriffen werden kann. Das Gerät kann bei
+eingehenden Datenpaketen die in ihnen angegebenen Absender-IP-Adressen auf interne
+Adressen umschreiben. Diese Technik wird als NAT (Network Address Translation) bezeichnet.
+Über die Port-Nummer können die Datenpakete auf Ports interner IP-Adressen
+umgeleitet werden.
+Das Gerät unterstützt maximal 64 Regeln für die Port-Weiterleitung.
+[[Datei:IP_And_Port_Forwarding_LTE_NG.jpg| 1000px |rahmenlos| IP and Forwarding]]
+{| class="wikitable"
+! Network Security >> Port Forwarding !!
 |-
-| Name || Name der VPN-Verbindung
+| Protocol || Auswahl: TCP / UDP / ICMP
 |-
-| VPN || Aktivieren (=Enabled) oder Deaktivieren (=Disabled) der VPN-Verbindung
+| From IP || 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich
+anzugeben, benutzen Sie die CIDR-Schreibweise
 |-
-| Adress Family || '''Auto:''' Automatische Verbindung mit IPv4 oder IPv6 IP-Adresse
+| In Port || Wird nur bei den Protokollen TCP und UDP ausgewertet
-'''IPv4:''' Verbindung mit IPv4-Adresse
+'''Port Nr.'''
-'''IPv6:''' Verbindung mit IPv6-Adresse
+'''any:''' jeder beliebige Port
-|-
-| Authentication || X.509 Remote Certificate - VPN-Teilnehmer haben einen privaten und einen öffentlichen Schlüssel (X.509-Zertifikat)
-Preshared Secret Key - VPN-Teilnehmer besitzen einen privaten Schlüssel (ein gemeinsames Passwort)
+'''startport-endport:''' ein Port-Bereich (z.B. 100...150)
 |-
-| Remote Certificate || VPN-Gegenstellen Authentifizierung erfolgt über ein Zertifikat , (Gegenstellenzertifikat, .pem  .cer  .crt) das in dem Menü "IPsec Certificates" hochgeladen werden muss
+| To IP || IP-Adresse aus dem lokalen Netzwerk, ankommenden Pakete
+werden an diese Adresse weitergeleitet
 |-
-| Local Certificate || Router Authentifizierung bei der VPN-Gegenstelle erfolgt über ein Zertifikat (Maschinenzertifikat, PKCS#12), das in dem Menü "IPsec Certificates" hochgeladen werden muss
+| To Port || siehe "In Port"
 |-
-| Remote ID || '''Leer:''' Kein Eintrag in der Zeile bedeutet, dass die Angaben aus dem Zertifikat gewählt werden
+| Masq || Für jede einzelne Regel können Sie festlegen, ob IP-Masquerading
+angewendet werden soll
+'''Yes:''' : IP-Masquerading aktiviert, ankommende Pakete aus dem Internet erhalten die IP-Adresse des Routers. Antwort ins Internet ist möglich, auch ohne Default-Gateway
-'''Subject:''' Eine IP-Adresse,  E-Mail-Adresse oder ein Hostname (mit vorangestelltem @-Zeichen) bedeutet, dass diese Einträge auch im Zertifikat vorhanden sein sollten, damit sich der Router authentifizieren kann
+'''No:''' Antwort ins Internet nur mit Default-Gateway (Defaulteinstellung)
 |-
-| Local ID || Siehe Remote ID
+| Log || Für jede einzelne Regel können Sie festlegen, ob bei Greifen
-|-
+der Regel das Ereignis protokolliert werden soll
-| Address Remote Network || IP-Adresse/Subnetzmaske des Netzwerkes, zu dem eine VPN-Verbindung aufgebaut wird
-|-
-| Address Local Network || IP-Adresse/Subnetzmaske des Netzwerkes, von dem eine VPN-Verbindung aufgebaut wird
-|-
-| Connection NAT || '''Local 1:1 NAT:''' IP-Adresse vom lokalen Netzwerk, unter der das Netzwerk per 1:1 NAT aus dem Remote-Netz erreicht werden kann/soll
-|-
-| Remote Connection || '''Accept:''' VPN-Verbindung wird von einer Gegenstelle aufgebaut und vom Router akzeptiert
-'''Initiate:''' VPN-Verbindung geht vom Router aus
+'''Yes:''' Ereignis wird protokolliert
-'''Initiate on SMS:''' VPN-Verbindung wird durch eine SMS gestartet
+'''No:''' Ereignis wird nicht protokolliert (Defaulteinstellung)
+|}
-'''Initiate on Call:''' VPN-Verbindung wird durch einen Anruf gestartet
+== Exposed host (Server einrichten) ==
-'''Initiate on XML:''' VPN-Verbindung wird über eine XML-Datei gestartet
-'''Initiate on Input 1:''' Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 1
+[[Datei:Exposed_Host_LTE_NG.jpg| 600px |rahmenlos| Exposed Host]]
-'''Initiate on Input 2:''' Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 2
+{| class="wikitable"
+! Network Security >> Exposed host !!
 |-
-| Autoreset || Kann bei "Initiate on SMS" und muss bei "Initiate on Call" festgelegt werden. Es wird ein Zeitraum festgelegt, nach wieviel Minuten die VPN-Verbindung per Autoreset gestoppt wird
+| '''local exposed host''' || IP-Adresse des Exposed Host (Server)
-|}
+|-
+| Allow external access from || IP-Adressen für eingehende Datenverbindungen
+.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich
+anzugeben, benutzen Sie die CIDR-Schreibweise
+|-
+| Masquerade traffic to  exposed host || Legen Sie fest, ob IP-Masquerading angewendet werden soll
+'''Enabled:''' IP-Masquerading aktiviert, ankommende Pakete aus dem Internet erhalten die
+IP-Adresse des Routers. Antwort ins Internet ist möglich, auch ohne Default-Gateway
-==== Connection IKE ====
+'''Disabled:''' Antwort ins Internet nur mit Default-Gateway (Defaulteinstellung)
+|-
+| Log traffic to exposed host || Legen Sie fest, ob IP-Verbindungen protokolliert werden
-[[Datei:IPsec_IKE_LTE_NG.jpg| 600px |rahmenlos| IPsec IKE]]
+'''Enabled:''' IP-Verbindungen werden protokolliert
-{| class="wikitable"
+'''Disabled:''' IP-Verbindungen werden nicht protokolliert (Defaulteinstellung)
-! VPN >> IPsec >> Connections >> IKE >> Edit !!
+|}
-|-
-| Name || Name der VPN-Verbindung
-|-
-| IKE Protocol || '''IKEv1 only:''' nur IKEv1
-'''IKEv2 only''' nur IKEv2
-'''Initiate IKEv2:''' Initiate
+== Masquerading ==
-|-
-| '''Phase 1 ISAKMP SA''' || Schlüsselaustausch
-|-
-| ISAKMP SA Encryption || Verschlüsselungsalgorithmus-Auswahl
-|-
-| ISAKMP SA Hash || Hash-Algorithmus-Auswahl
-|-
-| ISAKMP SA Lifetime || Lebensdauer des ISAKMP SA Schlüssels. Standardeinstellung 3600 Sekunden (1 Stunde) max. Einstellwert 86400 Sekunden (24 Stunden)
-|-
-| '''Phase 2 IPsec SA''' || Datenaustausch
-|-
-| Ipsec SA Encryption || siehe ISAKMP SA Encryption
-|-
-| Ipsec SA Hash || siehe ISAKMP SA Hash
-|-
-| Ipsec Lifetime || Lebensdauer des Ipsec SA Schlüssels. Standardeinstellung 28800 Sekunden (8 Stunden) max. Einstellwert 86400 Sekunden (24 Stunden)
-|-
-| Perfect Forward Secrecy (PFS) || Aktivieren (=Yes) oder Deaktivieren (=No) der PFS Funktion
-|-
-| DH/PFS Group || Im Ipsec werden beim Datenaustausch in bestimmten Intervallen die Schlüssel erneuert. Mit PFS werden hierbei mit der Gegenstelle im Schlüsselaustauschverfahren neue Zufallszahlen ausgehandelt
-Auswahl des Verfahrens
+Sie können für bestimmte Netze festlegen, ob IP-Masquerading angewendet werden soll.
-|-
+Wenn IP-Masquerading aktiviert ist, erhalten alle ankommenden Pakete aus dem Internet
-| Rekey || Unter Rekeying versteht man das erneute Aushandeln einer abgelaufenen und damit nicht mehr gültigen
+die IP-Adresse des Routers. Die Antwort in die konfigurierten Netze ist auch ohne Default-
-Sicherheitsbeziehung. Dies bezieht sich sowohl auf IKE-SAs als auch auf SAs für IPsec.
+Gateway möglich.
+Das Gerät unterstützt maximal 16 Regeln für IP-Masquerading.
-'''No:''' aktivieren
+'''From IP 0.0.0.0/0''' bedeutet alle IP-Adressen.
+Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe
+„CIDR (Classless Inter-Domain Routing)“)
-'''Yes:''' nicht aktivieren
+[[Datei:Masquerading_LTE_NG.jpg| 600px |rahmenlos|Masquerading]]
-|-
+= VPN =
-| Dead Peer Detection || Unterstützt die Gegenstelle ein solches Protokoll, so kann überprüft werden, ob die Verbindung "tot" ist oder nicht. Die Verbindung wird versucht neu aufzubauen
-'''No:''' Keine Dead Peer Detection
+Im Menü VPN können Sie einerseits Einstellungen zur Internet Protocol Security ('''IPsec''') andererseits zum virtuellen privaten Netzwerk ('''OpenVPN''') vornehmen.
-'''Yes:''' Bei VPN Initiate wird versucht, neuzustarten "Restart. Bei VPN Accept wird die Verbindung geschlossen "Clear"
+Für eine VPN-Verbindung müssen die IP-Adressen der VPN-Gegenstellen bekannt und adressierbar sein.
-|-
-| DPD Delay (sec.) || Zeitintervall in Sekunden, in dem die Peer-Verbindung überprüft wird
-|-
-| DPD Timeout (sec.) || Zeitspanne nach der die Verbindung zur Gegenstelle für nicht aktiv erklärt werden soll
-Defaultwert:            120 Sekunden
+== IPsec ==
-Maximum:               86400 Sekunden (24 Stunden)
+Die VPN-Gegenstelle muss IPsec mit folgender Konfiguration unterstützen:
-|}
+* 	Authentifizierung über X.509-Zertifikate oder Preshared Secret Key (PSK)
+* 	ESP
+* 	Diffie-Hellman Gruppe 2 oder 5
+* 	3DES oder AES encryption
+* 	MD5 oder SHA-1 Hash Algorithmen
+* 	Tunnel-Modus
+* 	Quick Mode
+* 	Main Mode
+*      SA Lifetime (1 Sekunde bis 24 Stunden)
-=== Certificates ===
+=== Connections ===
-Mit einem Zertifikat, das in den Router geladen werden kann, authentifiziert sich der Router bei der Gegenstelle.
-[[Datei:IPsec_Certificates_LTE_NG.jpg| 600px |rahmenlos| IPsec Certificates]]
+[[Datei:IPsec_Connections_LTE_NG.jpg| 600px |rahmenlos| IPsec Connections]]
 {| class="wikitable"
-! VPN >> IPsec >> Certificates !!
+! VPN >> IPsec >> Connections !!
+|-
+| Monitor DynDNS || VPN-Gegenstelle hat keine feste IP und als Remote Host wird ein DynDNS-Name genutzt, so kann diese Funktion aktiviert werden, um die Verbindung zu überprüfen
+|-
+| Check Interval || Prüfintervall in Sekunden
+|-
+| IKE Logging Level || Einstellung des Logging Levels
+'''0:''' Very basic auditing logs
+'''1:''' Generic control flow with errors, a good default to see whats going on
+'''2:''' More detailed debugging control flow
 |-
-| '''Load Remote Certificate''' || Hochladen von Zertifikaten, mit denen eine Authentifizierung für den Router bei der VPN-Gegenstelle erfolgen kann
+| Enable || VPN-Verbindung aktivieren (=Yes) oder deaktivieren (=No)
 |-
-| '''Load Own PKCS#12 Certificate''' || Hochladen eines Zertifikats (Providervorgabe)
+| Name || Name der VPN-Verbindung festlegen
 |-
-| Password || Passwort für das PKCS#12 Zertifikat / das Passwort wird beim Export vergeben
+| Settings || Einstellungen für IPsec
 |-
-| Remote Certificates || Tabellarische Übersicht aller "Remote Certificates" / mit "Delete" wird ein Zertifikat gelöscht
+| IKE || Einstellungen für das Internet-Key-Exchange-Protokoll
 |-
-| Own Certificates ||  Tabellarische Übersicht aller "Own Certificates" / mit "Delete" wird ein Zertifikate gelöscht
+| Firewall || Einstellungen für IPsec Firewall
 |}
-=== Firewall ===
+==== Connections Settings ====
-[[Datei:IPsec_Service_Firewall_LTE_NG.jpg| 800px |rahmenlos| SNMP Firewall]]
+[[Datei:IPsec_Connection_Settings_LTE_NG.jpg| 600px |rahmenlos| IPsec Connection Settings]]
 {| class="wikitable"
-! VPN >> IPsec >> Firewall !!
+! VPN >> IPsec >> Connections >> Settings >> Edit !!
 |-
-| '''Incoming Packets (Policy: Accept)'''
+| Name || Name der VPN-Verbindung
 |-
-| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
+| VPN || Aktivieren (=Enabled) oder Deaktivieren (=Disabled) der VPN-Verbindung
 |-
-| Action || '''Accept:''' Datenpakete werden angenommen
+| Adress Family || '''Auto:''' Automatische Verbindung mit IPv4 oder IPv6 IP-Adresse
+'''IPv4:''' Verbindung mit IPv4-Adresse
-'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
+'''IPv6:''' Verbindung mit IPv6-Adresse
+|-
+| Authentication || X.509 Remote Certificate - VPN-Teilnehmer haben einen privaten und einen öffentlichen Schlüssel (X.509-Zertifikat)
-'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
+Preshared Secret Key - VPN-Teilnehmer besitzen einen privaten Schlüssel (ein gemeinsames Passwort)
+|-
+| Remote Certificate || VPN-Gegenstellen Authentifizierung erfolgt über ein Zertifikat , (Gegenstellenzertifikat, .pem  .cer  .crt) das in dem Menü "IPsec Certificates" hochgeladen werden muss
 |-
-| Comment || Kommentar
+| Local Certificate || Router Authentifizierung bei der VPN-Gegenstelle erfolgt über ein Zertifikat (Maschinenzertifikat, PKCS#12), das in dem Menü "IPsec Certificates" hochgeladen werden muss
 |-
-| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+| Remote ID || '''Leer:''' Kein Eintrag in der Zeile bedeutet, dass die Angaben aus dem Zertifikat gewählt werden
-'''No:''' Aktivierung der Regel wird nicht protokolliert
+'''Subject:''' Eine IP-Adresse,  E-Mail-Adresse oder ein Hostname (mit vorangestelltem @-Zeichen) bedeutet, dass diese Einträge auch im Zertifikat vorhanden sein sollten, damit sich der Router authentifizieren kann
+|-
+| Local ID || Siehe Remote ID
 |-
-|}
+| Address Remote Network || IP-Adresse/Subnetzmaske des Netzwerkes, zu dem eine VPN-Verbindung aufgebaut wird
-== OpenVPN ==
-OpenVPN ist ein Programm zum Aufbau eines virtuellen privaten Netzwerks (VPN) über
-eine verschlüsselte Verbindung.
-[[Datei:OpenVPN_Connections_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Connections]]
-=== Connections ===
-OpenVPN-Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte Verbindung. Es können bis zu 5 gleichzeitige OpenVPN Tunnel eingerichtet werden.
-[[Datei:OpenVPN_Tunnel_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Tunnel]]
-{| class="wikitable"
-! VPN >> OpenVPN >> Connections >> Tunnel >> Edit !!
 |-
-| Name || Name der OpenVPN-Verbindung
+| Address Local Network || IP-Adresse/Subnetzmaske des Netzwerkes, von dem eine VPN-Verbindung aufgebaut wird
 |-
-| VPN || OpenVPN Tunnel aktiv (=Enable) oder inaktiv (=Disable)
+| Connection NAT || '''Local 1:1 NAT:''' IP-Adresse vom lokalen Netzwerk, unter der das Netzwerk per 1:1 NAT aus dem Remote-Netz erreicht werden kann/soll
 |-
-| Event || '''Initiate:'''  Tunnel dauernd gestartet
+| Remote Connection || '''Accept:''' VPN-Verbindung wird von einer Gegenstelle aufgebaut und vom Router akzeptiert
-'''Initiate on SMS:''' Start / Stoppt den VPN-Tunnel mittels SMS
-'''Initiate on Call:''' Start / Stoppt den VPN-Tunnel mittels Anruf
+'''Initiate:''' VPN-Verbindung geht vom Router aus
-'''Initiate on XML:''' Start / Stoppt den VPN-Tunnel mittels XML Script
+'''Initiate on SMS:''' VPN-Verbindung wird durch eine SMS gestartet
-'''Initiate on Input 1:''' Start / Stoppt den VPN-Tunnel mittels Input 1
+'''Initiate on Call:''' VPN-Verbindung wird durch einen Anruf gestartet
-'''Initiate on Input 2:''' Start / Stoppt den VPN-Tunnel mittels Input 2
+'''Initiate on XML:''' VPN-Verbindung wird über eine XML-Datei gestartet
+'''Initiate on Input 1:''' Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 1
+'''Initiate on Input 2:''' Startet / Stoppt den VPN-Tunnel durch digitalen Eingang 2
 |-
-| Remote Host || IP-Adresse oder URL der Gegenstelle
+| Autoreset || Kann bei "Initiate on SMS" und muss bei "Initiate on Call" festgelegt werden. Es wird ein Zeitraum festgelegt, nach wieviel Minuten die VPN-Verbindung per Autoreset gestoppt wird
+|}
+==== Connection IKE ====
+[[Datei:IPsec_IKE_LTE_NG.jpg| 600px |rahmenlos| IPsec IKE]]
+{| class="wikitable"
+! VPN >> IPsec >> Connections >> IKE >> Edit !!
 |-
-| Remote Port || Port der Gegenstelle (Standard: 1194)
+| Name || Name der VPN-Verbindung
 |-
-| Address Family ||'''auto:''' Automatisch IPv4 oder IPv6
+| IKE Protocol || '''IKEv1 only:''' nur IKEv1
-'''IPv4:''' Ipv4
+'''IKEv2 only''' nur IKEv2
-'''IPv6:''' IPv6
+'''Initiate IKEv2:''' Initiate
 |-
-| Protocol || UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen!
+| '''Phase 1 ISAKMP SA''' || Schlüsselaustausch
 |-
-| Compression || '''Disabled:''' Keine Kompression
+| ISAKMP SA Encryption || Verschlüsselungsalgorithmus-Auswahl
-'''LZO Adaptive:''' Adaptive Kompression
-''' LZO no:'''
-''' LZO yes:'''
-''' LZO enabled: '''
-''' Compress off: '''
-''' Compress LZO: '''
-''' Compress LZ4: '''
 |-
-| Allow Remote Float || Option: Bei der Kommunikation mit dynamischen IP-Adressen akzeptiert die OpenVPN-Verbindung authentifizierte Pakte von jeder IP-Adresse
+| ISAKMP SA Hash || Hash-Algorithmus-Auswahl
 |-
-|  Redirect default gateway || Das Default Gateway wird durch den Tunnel geleitet
+| ISAKMP SA Lifetime || Lebensdauer des ISAKMP SA Schlüssels. Standardeinstellung 3600 Sekunden (1 Stunde) max. Einstellwert 86400 Sekunden (24 Stunden)
 |-
-| Local Port || Lokaler Port
+| '''Phase 2 IPsec SA''' || Datenaustausch
 |-
-| Authentication || Authentifizierungsart der OpenVPN-Verbindung festlegen (X.509,  PSK oder Username/Password)
+| Ipsec SA Encryption || siehe ISAKMP SA Encryption
 |-
-| Local Certifacate || Zertifikat vom Router für die Authentifizierung bei der Gegenstelle
+| Ipsec SA Hash || siehe ISAKMP SA Hash
 |-
-| HMAC Authentication || MD5, SHA1, SHA224, SHA256, SHA384, SHA512, None
+| Ipsec Lifetime || Lebensdauer des Ipsec SA Schlüssels. Standardeinstellung 28800 Sekunden (8 Stunden) max. Einstellwert 86400 Sekunden (24 Stunden)
+|-
+| Perfect Forward Secrecy (PFS) || Aktivieren (=Yes) oder Deaktivieren (=No) der PFS Funktion
 |-
-| TLS Authentication Key || None
+| DH/PFS Group || Im Ipsec werden beim Datenaustausch in bestimmten Intervallen die Schlüssel erneuert. Mit PFS werden hierbei mit der Gegenstelle im Schlüsselaustauschverfahren neue Zufallszahlen ausgehandelt
+Auswahl des Verfahrens
 |-
-| Check Remote Certificate Type || Option: Zertifikate der OpenVPN-Verbindung überprüfen
+| Rekey || Unter Rekeying versteht man das erneute Aushandeln einer abgelaufenen und damit nicht mehr gültigen
-|-
+Sicherheitsbeziehung. Dies bezieht sich sowohl auf IKE-SAs als auch auf SAs für IPsec.
-| Address Local Network || IP-Adresse/Subnetzmaske des lokalen Netzwerks
-|-
-| Connection NAT || '''None:''' Keine Weiterleitung
-'''Local 1:1 NAT:''' „Eins-zu-Eins“ Weiterleitung an ein lokales Netzwerk (NAT to local Network)
+'''No:''' aktivieren
-'''Local Masquerading:''' Die durch den Tunnel ausgehenden Pakete werden auf die Quelladresse des Routers umgeschrieben, um Geräten am Router den Zugriff auf die Gegenseite des Tunnels zu ermöglichen
+'''Yes:''' nicht aktivieren
-'''Remote Masquerading:''' Die durch den Tunnel eingehenden Pakete werden auf die lokale Adresse des Routers umgeschrieben
+|-
+| Dead Peer Detection || Unterstützt die Gegenstelle ein solches Protokoll, so kann überprüft werden, ob die Verbindung "tot" ist oder nicht. Die Verbindung wird versucht neu aufzubauen
-'''Port Forwarding:''' Weiterleitung mit den Einstellungen wie unter Punkt „Port Forwarding“ beschrieben
+'''No:''' Keine Dead Peer Detection
-'''Host Forwarding:''' Weiterleitung an die feste IP-Adresse eines angeschlossenen Endgerätes(Forward to local Host)
+'''Yes:''' Bei VPN Initiate wird versucht, neuzustarten "Restart. Bei VPN Accept wird die Verbindung geschlossen "Clear"
 |-
-| Encryption || Verschlüsselungsalgorithmus der OpenVPN-Verbindung
+| DPD Delay (sec.) || Zeitintervall in Sekunden, in dem die Peer-Verbindung überprüft wird
 |-
-| Keep Alive || Zeitintervall in Sekunden von Keep Alive-Anfragen an die Gegenstelle
+| DPD Timeout (sec.) || Zeitspanne nach der die Verbindung zur Gegenstelle für nicht aktiv erklärt werden soll
-|-
-| Restart || Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt
-|}
-=== Bridge ===
+Defaultwert:            120 Sekunden
-Durch die Überbrückung einer physischen Ethernet-Schnittstelle mit einer OpenVPN-gesteuerten TAP-Schnittstelle an zwei verschiedenen Standorten ist es möglich, beide Ethernet-Netzwerke logisch zusammenzuführen, als wären sie ein einziges Ethernet-Subnetz.
+Maximum:               86400 Sekunden (24 Stunden)
+|}
-Die Einstellungen entsprechen den OpenVPN-Server-Einstellungen wie im folgenden Kapitel beschrieben.
+=== Certificates ===
+Mit einem Zertifikat, das in den Router geladen werden kann, authentifiziert sich der Router bei der Gegenstelle.
-=== Server ===
+[[Datei:IPsec_Certificates_LTE_NG.jpg| 600px |rahmenlos| IPsec Certificates]]
-Einsatz des Routers als OpenVPN Server.
-Zur Aktivierung des Servers wählen Sie unter dem Menüpunkt „Enabled“ den Eintrag „Yes“. Geben Sie unter „Name“ einen frei gewählten Namen des Servers ein. Klicken Sie anschließend auf „Apply“. Mit einem Klick auf „Edit“ erreichen Sie die OpenVPN Server Einstellungen.
-[[Datei:OpenVPN_Server_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
-[[Datei:OpenVPN_Server2_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
 {| class="wikitable"
-! VPN >> OpenVPN >> Connections >> Server !!
+! VPN >> IPsec >> Certificates !!
 |-
-| VPN || OpenVPN Server aktiviert (=Enable) oder inaktiv (=Disable)
+| '''Load Remote Certificate''' || Hochladen von Zertifikaten, mit denen eine Authentifizierung für den Router bei der VPN-Gegenstelle erfolgen kann
 |-
-| Local Port || Einstellung des OpenVPN Ports des Servers (default 1194)
+| '''Load Own PKCS#12 Certificate''' || Hochladen eines Zertifikats (Providervorgabe)
 |-
-| Address Family || IPv4 oder IPv6 IP-Adressen
+| Password || Passwort für das PKCS#12 Zertifikat / das Passwort wird beim Export vergeben
 |-
-| Protocol || UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen!
+| Remote Certificates || Tabellarische Übersicht aller "Remote Certificates" / mit "Delete" wird ein Zertifikat gelöscht
 |-
-| Compression || '''Disabled''' = Keine Kompression
+| Own Certificates ||  Tabellarische Übersicht aller "Own Certificates" / mit "Delete" wird ein Zertifikate gelöscht
+|}
-Einstellung der gewünschten Kompressionsart
+=== Firewall ===
-|-
-| Topology ||
-'''subnet:''' Die empfohlene Topologie für moderne Server. Die Adressierung erfolgt über IP & Netzmaske.
+[[Datei:IPsec_Service_Firewall_LTE_NG.jpg| 800px |rahmenlos| SNMP Firewall]]
-'''net30:''' Dies ist die alte Topologie für die Unterstützung von Windows-Clients, auf denen 2.0.9 oder ältere Clients ausgeführt werden. Dies ist die Standardeinstellung ab OpenVPN 2.3, wird jedoch für die aktuelle Verwendung nicht empfohlen. Jedem Client wird ein virtuelles /30 zugewiesen, wobei 4 IPs pro Client plus 4 für den Server benötigt werden.
+{| class="wikitable"
+! VPN >> IPsec >> Firewall !!
 |-
-| HMAC Authentication || Keyed-Hash Message Authentication Code (HMAC) -  Auswahl der Verschlüsselung
+| '''Incoming Packets (Policy: Accept)'''
 |-
-| TLS authentification key || None oder entsprechenden key auswählen. Der Key muss vorab geladen worden sein
+| From IP || IP-Adressenbereich in CIDR-Form (0.0.0.0/0 bedeutet alle IP-Adressen)
 |-
-| Local certificate || Auswahl des PKCS#12 Zertifikats (.p12) des OpenVPN Servers. Das Zertifikat muss vorab geladen worden sein
+| Action || '''Accept:''' Datenpakete werden angenommen
+'''Reject:''' Datenpakete werden abgelehnt. Benachrichtigung an den Absender, dass die Daten abgelehnt werden
-Achtung: Bitte stellen Sie sicher, dass die Systemzeit des Routers aktuell ist und somit mit in das zeitliche Gültigkeitsfenster der Zertifikate fällt
+'''Drop:''' Datenpakete werden "fallen gelassen" d. h. sie werden abgewiesen und der Absender erhält keine Benachrichtigung
 |-
-| Diffie-Hellman parameter || Standard ist 1024 Bit, kann auf 2048 Bit geändert werden (wird bei der Erstellung des Zertifikats Parameter definiert)
+| Comment || Kommentar
 |-
-| Encryption || Verschlüsselungsalgorithmus für die OpenVPN Verbindung
+| Log || '''Yes:''' Aktivierung der Regel wird protokolliert
+'''No:''' Aktivierung der Regel wird nicht protokolliert
 |-
-| Client to client traffic || Client zu Client Verbindung zugelassen oder blockieren
+|}
-|-
-| Client subnet base || Angabe des Basis Netzwerkes des OpenVPN Servers
-Von dieser Einstellung werden die Netzwerkabschnitte der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten)
+== OpenVPN ==
-|-
-| Virtual network base || Virtual Network Base Angabe des internen, virtuellen Basis Netzwerkes des OpenVPN Servers
-Von dieser Einstellung werden die virtuellen IP-Adressen der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten)
+OpenVPN ist ein Programm zum Aufbau eines virtuellen privaten Netzwerks (VPN) über
-|-
+eine verschlüsselte Verbindung.
-| Keep alive || Zeitspanne in Sekunden, nach welcher Keep Alive-Anfragen gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist
+[[Datei:OpenVPN_Connections_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Connections]]
+=== Connections ===
+OpenVPN-Aufbau eines Virtuellen Privaten Netzwerkes (VPN) über eine verschlüsselte Verbindung. Es können bis zu 5 gleichzeitige OpenVPN Tunnel eingerichtet werden.
+[[Datei:OpenVPN_Tunnel_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Tunnel]]
+{| class="wikitable"
+! VPN >> OpenVPN >> Connections >> Tunnel >> Edit !!
 |-
-| Restart || Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt
+| Name || Name der OpenVPN-Verbindung
 |-
-! Additional Options pushed to the Clients !!
+| VPN || OpenVPN Tunnel aktiv (=Enable) oder inaktiv (=Disable)
 |-
-| Redirect Default Gateway || Wenn Sie „Redirect Default Gateway“ anklicken, werden die Routen des Clients durch den OpenVPN Tunnel geleitet
+| Event || '''Initiate:'''  Tunnel dauernd gestartet
-|-
+'''Initiate on SMS:''' Start / Stoppt den VPN-Tunnel mittels SMS
-| Routes || Hier können den Clients Routen mitgeteilt werden, damit Geräte hinter dem Router erreicht werden können
-|}
-==== Client Table ====
+'''Initiate on Call:''' Start / Stoppt den VPN-Tunnel mittels Anruf
-Klicken Sie den „Clients“-Button um die OpenVPN Clients anzulegen.
+'''Initiate on XML:''' Start / Stoppt den VPN-Tunnel mittels XML Script
-[[Datei:OpenVPN_Client_Table_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
+'''Initiate on Input 1:''' Start / Stoppt den VPN-Tunnel mittels Input 1
-Bitte definieren Sie hier Ihre OpenVPN Clients. Zur Identifizierung der Clients durch den OpenVPN Servers, muss hier
+'''Initiate on Input 2:''' Start / Stoppt den VPN-Tunnel mittels Input 2
-unter „Common Name“ der Common Name eingegeben werden, welcher bei der Generierung des entsprechenden
-Zertifikates für den Client definiert wurde. Es findet hier also die Zuordnung des Client Zertifikats zu der durch den
-Server definierten Client Adresse statt.
-[[Datei:OpenVPN_Client_Table2_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
+|-
+| Remote Host || IP-Adresse oder URL der Gegenstelle
+|-
+| Remote Port || Port der Gegenstelle (Standard: 1194)
+|-
+| Address Family ||'''auto:''' Automatisch IPv4 oder IPv6
+'''IPv4:''' Ipv4
-Beispiel zur Abbildung oben: Ein Client hat ein Zertifikat mit dem Common Name Service PC geladen. Dieser Client ist dann hier über die virtuelle IP-Adresse 172.16.0.5 erreichbar. Das Netzwerk auf dem Client-(Router) kann hier über den IP Adressenabschnitt 10.8.1.0/24 erreicht werden.
+'''IPv6:''' IPv6
+|-
+| Protocol || UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen!
+|-
+| Compression || '''Disabled:''' Keine Kompression
-'''Hinweise:'''
+'''LZO Adaptive:''' Adaptive Kompression
-Die Client Adresse wird automatisch von der Virtual Network Base Einstellung unter: „OpenVPN Server“ abgeleitet.
+''' LZO no:'''
-(z.B. Virtual Network Base = 172.16.0.0/24, erste Client Adresse = 172.16.0.5, zweite Client Adresse = 172.16.0.9 usw.)
-Der Client Subnet wird automatisch von der Client Subnet Base Einstellung unter: „OpenVPN Server“ abgeleitet.
-(z.B. Virtual Network Base = 10.8.1.0/24,  erstes Client Subnet = 10.8.2.0/24, zweites Client Subnet = 10.8.3.0/24 usw.)
-Klicken Sie „Advanced“ für weitere Spezial-Einstellungen.
+''' LZO yes:'''
-[[Datei:OpenVPN_Server_Advanced_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
+''' LZO enabled: '''
-Sie haben bei Bedarf die Möglichkeiten spezielle Einstellungen für die Größen: TUN-MTU, Fragment, MSS fix und für
+''' Compress off: '''
-das Renegotiate Key Interval vorzunehmen.
-'''Hinweise:'''
+''' Compress LZO: '''
-Bitte vergessen Sie nicht alle Eingaben oder Änderungen durch das Klicken auf den „Apply“ Button zu bestätigen/
+''' Compress LZ4: '''
-zu aktivieren. Sollten die Einstellungen nicht unmittelbar wirken, so sollten Sie zur Sicherheit ein Reboot des
+|-
-Routers durchführen.
+| Allow Remote Float || Option: Bei der Kommunikation mit dynamischen IP-Adressen akzeptiert die OpenVPN-Verbindung authentifizierte Pakte von jeder IP-Adresse
-=== Port Forwarding OpenVPN ===
-[[Datei:Port_Forwarding_LTE_NG.jpg| 1000px |rahmenlos| Port Forwarding]]
-{| class="wikitable"
-! VPN >> OpenVPN >> Port Forwarding !!
 |-
-| Protocol || Auswahl: TCP / UDP / ICMP
+|  Redirect default gateway || Das Default Gateway wird durch den Tunnel geleitet
 |-
-| In Port || Port Nr. eingehende Verbindung
+| Local Port || Lokaler Port
 |-
-| To IP || IP Adresse von Ziel
+| Authentication || Authentifizierungsart der OpenVPN-Verbindung festlegen (X.509,  PSK oder Username/Password)
 |-
-| To Port || Port Nr. Vom Ziel
+| Local Certifacate || Zertifikat vom Router für die Authentifizierung bei der Gegenstelle
 |-
-| Masq || Masquerading ein-bzw. ausschalten
+| HMAC Authentication || MD5, SHA1, SHA224, SHA256, SHA384, SHA512, None
 |-
-| Comment || Kommentarfeld
+| TLS Authentication Key || None
 |-
-|}
+| Check Remote Certificate Type || Option: Zertifikate der OpenVPN-Verbindung überprüfen
+|-
-=== Certificates OpenVPN ===
+| Address Local Network || IP-Adresse/Subnetzmaske des lokalen Netzwerks
+|-
+| Connection NAT || '''None:''' Keine Weiterleitung
+'''Local 1:1 NAT:''' „Eins-zu-Eins“ Weiterleitung an ein lokales Netzwerk (NAT to local Network)
+'''Local Masquerading:''' Die durch den Tunnel ausgehenden Pakete werden auf die Quelladresse des Routers umgeschrieben, um Geräten am Router den Zugriff auf die Gegenseite des Tunnels zu ermöglichen
+'''Remote Masquerading:''' Die durch den Tunnel eingehenden Pakete werden auf die lokale Adresse des Routers umgeschrieben
-[[Datei:OpenVPN_Certificates_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Certificates]]
+'''Port Forwarding:''' Weiterleitung mit den Einstellungen wie unter Punkt „Port Forwarding“ beschrieben
-{| class="wikitable"
+'''Host Forwarding:''' Weiterleitung an die feste IP-Adresse eines angeschlossenen Endgerätes(Forward to local Host)
-! VPN >> OpenVPN >> Certificates
 |-
-| Load Own PKCS#12 Certificate || Hochladen eines Zertifikats, das von Ihrem Provider stammt
+| Encryption || Verschlüsselungsalgorithmus der OpenVPN-Verbindung
 |-
-| Password || Passwort für das PKCS#12 Zertifikat. Das Passwort wird beim Export vergeben
+| Keep Alive || Zeitintervall in Sekunden von Keep Alive-Anfragen an die Gegenstelle
 |-
-| Own Certificates || Tabellarische Übersicht aller "Own Certificates" / mit "Delete" werden die Zertifikate gelöscht
+| Restart || Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt
 |}
-=== Static Keys OpenVPN ===
+=== Bridge ===
+Durch die Überbrückung einer physischen Ethernet-Schnittstelle mit einer OpenVPN-gesteuerten TAP-Schnittstelle an zwei verschiedenen Standorten ist es möglich, beide Ethernet-Netzwerke logisch zusammenzuführen, als wären sie ein einziges Ethernet-Subnetz.
-[[Datei:OpenVPN_Static_Keys_LTE_NG.jpg| 600px |rahmenlos|Beschreibung]]
+Die Einstellungen entsprechen den OpenVPN-Server-Einstellungen wie im folgenden Kapitel beschrieben.
-{| class="wikitable"
+=== Server ===
-! VPN >> OpenVPN >> Static Keys
-|-
+Einsatz des Routers als OpenVPN Server.
-| Generate static Key || Einen statischen Schlüssel generieren und speichern
-|-
+Zur Aktivierung des Servers wählen Sie unter dem Menüpunkt „Enabled“ den Eintrag „Yes“. Geben Sie unter „Name“ einen frei gewählten Namen des Servers ein. Klicken Sie anschließend auf „Apply“. Mit einem Klick auf „Edit“ erreichen Sie die OpenVPN Server Einstellungen.
-| Load static Key || Statischen Schlüssel in den Router laden (den gleichen statischen Schlüssel muss auch die Gegenstelle besitzen)
-|-
+[[Datei:OpenVPN_Server_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
-| Static Keys || Tabellarische Übersicht aller geladenen statischen Schlüssel
-|}
+[[Datei:OpenVPN_Server2_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
-= I/O =
+{| class="wikitable"
-Der LTE_NG Router verfügt an der Frontplatte über zwei digitale Ein- und Ausgänge, die in dem „I/O“-Menü von Ihnen konfiguriert werden können.
+! VPN >> OpenVPN >> Connections >> Server !!
+|-
-{| class="wikitable"
+| VPN || OpenVPN Server aktiviert (=Enable) oder inaktiv (=Disable)
-! Signal !! Pin !! Pin || Signal
+|-
-|-
+| Local Port || Einstellung des OpenVPN Ports des Servers (default 1194)
-| I2 (Input2)
+|-
-| style="text-align:center" | 6
+| Address Family || IPv4 oder IPv6 IP-Adressen
-| style="text-align:center" | 5
+|-
-| O2 (Output2)
+| Protocol || UDP- oder TCP-Protokoll für die OpenVPN-Verbindung festlegen!
 |-
-| Ground
+| Compression || '''Disabled''' = Keine Kompression
-| style="text-align:center" | 4
-| style="text-align:center" | 3
+Einstellung der gewünschten Kompressionsart
-| Ground
+|-
-|-
+| Topology ||
-| I1 (Input1)
-|style="text-align:center" | 2
+'''subnet:''' Die empfohlene Topologie für moderne Server. Die Adressierung erfolgt über IP & Netzmaske.
-|style="text-align:center" | 1
-| O1 (Output1)
+'''net30:''' Dies ist die alte Topologie für die Unterstützung von Windows-Clients, auf denen 2.0.9 oder ältere Clients ausgeführt werden. Dies ist die Standardeinstellung ab OpenVPN 2.3, wird jedoch für die aktuelle Verwendung nicht empfohlen. Jedem Client wird ein virtuelles /30 zugewiesen, wobei 4 IPs pro Client plus 4 für den Server benötigt werden.
-|}
+|-
+| HMAC Authentication || Keyed-Hash Message Authentication Code (HMAC) -  Auswahl der Verschlüsselung
+|-
-== Inputs ==
+| TLS authentification key || None oder entsprechenden key auswählen. Der Key muss vorab geladen worden sein
+|-
-[[Datei:Inputs_LTE_NG.jpg| 600px |rahmenlos| Inputs]]
+| Local certificate || Auswahl des PKCS#12 Zertifikats (.p12) des OpenVPN Servers. Das Zertifikat muss vorab geladen worden sein
-{| class="wikitable"
+Achtung: Bitte stellen Sie sicher, dass die Systemzeit des Routers aktuell ist und somit mit in das zeitliche Gültigkeitsfenster der Zertifikate fällt
-! I/O >> Inputs
+|-
-|-
+| Diffie-Hellman parameter || Standard ist 1024 Bit, kann auf 2048 Bit geändert werden (wird bei der Erstellung des Zertifikats Parameter definiert)
-| High || Option: Bei einem High-Pegel kann eine Nachricht per SMS oder E-Mail verschickt werden
+|-
-|-
+| Encryption || Verschlüsselungsalgorithmus für die OpenVPN Verbindung
-| Low || Option: Bei einem Low-Pegel kann eine Nachricht per SMS oder E-Mail verschickt werden
+|-
-|}
+| Client to client traffic || Client zu Client Verbindung zugelassen oder blockieren
-{| class="wikitable"
+|-
-| Stellt man nun eine der oben dargestellten Optionen ein, so muss man diese mit "apply" bestätigen. Erst dann können die Einstellungen für die Benachrichtigung editiert werden
+| Client subnet base || Angabe des Basis Netzwerkes des OpenVPN Servers
-'''SMS:''' Eine oder mehrere Rufnummern werden aus dem eingespeicherten Telefonbuch selektiert, und Sie können einen individuellen Nachrichtentext festlegen
+Von dieser Einstellung werden die Netzwerkabschnitte der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten)
+|-
-'''E-Mail:''' Sie können einen Empfänger, einen Kopie-Empfänger, einen Betreff und einen Nachrichtentext festlegen
+| Virtual network base || Virtual Network Base Angabe des internen, virtuellen Basis Netzwerkes des OpenVPN Servers
-|}
+Von dieser Einstellung werden die virtuellen IP-Adressen der Clients automatisch abgeleitet (siehe Einstellung: Client Table unten)
-'''Schalteingänge anschließen'''
+|-
+| Keep alive || Zeitspanne in Sekunden, nach welcher Keep Alive-Anfragen gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist
-* Schließen Sie die Schalteingänge mittels des Klemmsteckers wie oben unter "Pinbelgung" beschrieben an.
+|-
-* An die Schalteingänge (IN1 und IN2) können Sie 10 ... 30 V DC anschließen
+| Restart || Zeitspanne in Sekunden nach der die Verbindung neu gestartet werden soll, falls keine Antwort auf die Keep Alive-Anfragen erfolgt
-* Das 0-V-Potential der Schalteingänge müssen Sie an "HGND" der Klemme anschließen
+|-
+! Additional Options pushed to the Clients !!
-== Outputs ==
+|-
+| Redirect Default Gateway || Wenn Sie „Redirect Default Gateway“ anklicken, werden die Routen des Clients durch den OpenVPN Tunnel geleitet
+|-
+| Routes || Hier können den Clients Routen mitgeteilt werden, damit Geräte hinter dem Router erreicht werden können
+|}
+==== Client Table ====
+Klicken Sie den „Clients“-Button um die OpenVPN Clients anzulegen.
+[[Datei:OpenVPN_Client_Table_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
+Bitte definieren Sie hier Ihre OpenVPN Clients. Zur Identifizierung der Clients durch den OpenVPN Servers, muss hier
+unter „Common Name“ der Common Name eingegeben werden, welcher bei der Generierung des entsprechenden
+Zertifikates für den Client definiert wurde. Es findet hier also die Zuordnung des Client Zertifikats zu der durch den
+Server definierten Client Adresse statt.
+[[Datei:OpenVPN_Client_Table2_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
+Beispiel zur Abbildung oben: Ein Client hat ein Zertifikat mit dem Common Name Service PC geladen. Dieser Client ist dann hier über die virtuelle IP-Adresse 172.16.0.5 erreichbar. Das Netzwerk auf dem Client-(Router) kann hier über den IP Adressenabschnitt 10.8.1.0/24 erreicht werden.
+'''Hinweise:'''
+Die Client Adresse wird automatisch von der Virtual Network Base Einstellung unter: „OpenVPN Server“ abgeleitet.
+(z.B. Virtual Network Base = 172.16.0.0/24, erste Client Adresse = 172.16.0.5, zweite Client Adresse = 172.16.0.9 usw.)
+Der Client Subnet wird automatisch von der Client Subnet Base Einstellung unter: „OpenVPN Server“ abgeleitet.
+(z.B. Virtual Network Base = 10.8.1.0/24,  erstes Client Subnet = 10.8.2.0/24, zweites Client Subnet = 10.8.3.0/24 usw.)
+Klicken Sie „Advanced“ für weitere Spezial-Einstellungen.
+[[Datei:OpenVPN_Server_Advanced_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Server]]
+Sie haben bei Bedarf die Möglichkeiten spezielle Einstellungen für die Größen: TUN-MTU, Fragment, MSS fix und für
+das Renegotiate Key Interval vorzunehmen.
+'''Hinweise:'''
+Bitte vergessen Sie nicht alle Eingaben oder Änderungen durch das Klicken auf den „Apply“ Button zu bestätigen/
+zu aktivieren. Sollten die Einstellungen nicht unmittelbar wirken, so sollten Sie zur Sicherheit ein Reboot des
+Routers durchführen.
+=== Port Forwarding OpenVPN ===
+[[Datei:Port_Forwarding_LTE_NG.jpg| 1000px |rahmenlos| Port Forwarding]]
+{| class="wikitable"
+! VPN >> OpenVPN >> Port Forwarding !!
+|-
+| Protocol || Auswahl: TCP / UDP / ICMP
+|-
+| In Port || Port Nr. eingehende Verbindung
+|-
+| To IP || IP Adresse von Ziel
+|-
+| To Port || Port Nr. Vom Ziel
+|-
+| Masq || Masquerading ein-bzw. ausschalten
+|-
+| Comment || Kommentarfeld
+|-
+|}
+=== Certificates OpenVPN ===
+[[Datei:OpenVPN_Certificates_LTE_NG.jpg| 600px |rahmenlos| OpenVPN Certificates]]
+{| class="wikitable"
+! VPN >> OpenVPN >> Certificates
+|-
+| Load Own PKCS#12 Certificate || Hochladen eines Zertifikats, das von Ihrem Provider stammt
+|-
+| Password || Passwort für das PKCS#12 Zertifikat. Das Passwort wird beim Export vergeben
+|-
+| Own Certificates || Tabellarische Übersicht aller "Own Certificates" / mit "Delete" werden die Zertifikate gelöscht
+|}
+=== Static Keys OpenVPN ===
+[[Datei:OpenVPN_Static_Keys_LTE_NG.jpg| 600px |rahmenlos|Beschreibung]]
+{| class="wikitable"
+! VPN >> OpenVPN >> Static Keys
+|-
+| Generate static Key || Einen statischen Schlüssel generieren und speichern
+|-
+| Load static Key || Statischen Schlüssel in den Router laden (den gleichen statischen Schlüssel muss auch die Gegenstelle besitzen)
+|-
+| Static Keys || Tabellarische Übersicht aller geladenen statischen Schlüssel
+|}
+= I/O  - Digitale Inputs und Outputs =
+Der LTE Router verfügt an der Oberseite über zwei digitale Ein- und Ausgänge, die in dem „I/O“-Menü von Ihnen konfiguriert werden können.
+'''Belegung Power-Stecker.'''
+[[Datei:X2_LAN.jpg| 400px |rahmenlos| Stecker 2]]
+{| class="wikitable"
+! Signal !! Beschreibung
+|-
+| PE || PE / Schutzerde
+|-
+| GND || Ground für Input/Output
+|-
+| 0V || GND
+|-
+| VDC || 10 - 55V DC
+|}
+'''Belegung IO-Stecker.'''
+[[Datei:X1_LAN.jpg| 400px |rahmenlos| Stecker 1]]
+{| class="wikitable"
+! Signal !! Beschreibung !! Spannungen
+|-
+| O1|| Digital Output 1 || Ausgangsspannung. = VDC - 2V
+|-
+| O2 || Digital Output 2 || Ausgangsspannung = VDC - 2V
+|-
+| I1|| Digital Input 1 || 10...48 V DC
+|-
+| I2|| Digital Input 2 || 10...48 V DC
+|}
+Die kurzschlussfesten (nicht dauerkurzschlussfest) '''Schaltausgänge (O1, O2)''' sind für max. 150 mA bei 10 ... 55 V DC ausgelegt. Ausgangsspannung. = Versorgungsspannung (VDC) - 2V
+An die '''Schalteingänge (I1, I2)''' können Sie 10 ... 48 V DC anschliessen. Eingangsstrom max. 10 mA, die Schaltschwelle liegt bei ca. 5V
+[[Datei:Input-Beschaltung.jpg| 400px |rahmenlos| Input-Beschaltung]]
+'''Wichtiger Hinweis: Die digitalen Ein- und Ausgänge benötigen als zweiten Kontakt den GND-Anschluß (Ground für Input/Output / Anschluß ohne Beschriftung) des Power Steckers'''
+== Inputs ==
+[[Datei:Inputs_LTE_NG.jpg| 600px |rahmenlos| Inputs]]
+{| class="wikitable"
+! I/O >> Inputs
+|-
+| High || Option: Bei einem High-Pegel kann eine Nachricht per SMS oder E-Mail verschickt werden
+|-
+| Low || Option: Bei einem Low-Pegel kann eine Nachricht per SMS oder E-Mail verschickt werden
+|}
+{| class="wikitable"
+| Stellt man nun eine der oben dargestellten Optionen ein, so muss man diese mit "apply" bestätigen. Erst dann können die Einstellungen für die Benachrichtigung editiert werden
+'''SMS:''' Eine oder mehrere Rufnummern werden aus dem eingespeicherten Telefonbuch selektiert, und Sie können einen individuellen Nachrichtentext festlegen
+'''E-Mail:''' Sie können einen Empfänger, einen Kopie-Empfänger, einen Betreff und einen Nachrichtentext festlegen
+|}
+'''Schalteingänge anschließen'''
+* Schließen Sie die Schalteingänge mittels des Klemmsteckers wie oben unter "Pinbelegung" beschrieben an.
+* An die Schalteingänge (I1 und I2) können Sie 10 ... 30 V DC anschließen
+* Das 0V-Potential der Schalteingänge müssen Sie an "0V" der Klemme anschließen
+== Outputs ==
 [[Datei:Outputs_LTE_NG.jpg| 600px |rahmenlos| Outputs]]
@@ Zeile 1.586: / Zeile 1.795: @@
 == System Configuration ==
-[[Datei:System_Confuguration_LTE_NG.jpg| 600px |rahmenlos| System Configuration]]
+[[Datei:System_Confuguration_LTE.jpg| 600px |rahmenlos| System Configuration]]
 {| class="wikitable"
@@ Zeile 1.602: / Zeile 1.811: @@
 '''USB-Stick:''' Loging auf angeschlossenen USB-Stick
+'''SD Card:''' Logging auf interne SD-Karte
 |-
 |Load Configuration || '''Disabled:''' Keine Konfiguration laden
@@ Zeile 1.607: / Zeile 1.817: @@
 '''USB-Stick:''' Konfiguration vom USB-Stick laden
+'''SD Card:''' Konfiguration von SD-Karte laden
+|-
+| Configuration unlock ||
+'''once:''' Laden der Konfiguration über USB Stick einmalig möglich
+'''allways:''' Laden der Konfiguration über USB Stick dauerhaft möglich
+'''by input 1:''' Laden der Konfiguration über USB Stick möglich, wenn Input 1 aktiv
+'''by input 2:''' Laden der Konfiguration über USB Stick möglich, wenn Input 2 aktiv
 |-
 |Reset Button || '''Factory Reset:''' Nach 5 Sekunden gedrücktem Reset Button wird die Werkseinstellung geladen
@@ Zeile 1.613: / Zeile 1.834: @@
 |Disable IPsec || '''No:''' IPsec aktiv
 '''Yes:''' IPsec deaktiviert
+|-
+|'''Ethernet Ports Disable'''
+|-
+|Ethernet LAN2 || Ethernetanschluss 2 deaktivieren
+|-
+|Ethernet LAN3 || Ethernetanschluss 3 deaktivieren
+|-
+|Ethernet LAN4 || Ethernetanschluss 4 deaktivieren
 |-
 |}
@@ Zeile 1.765: / Zeile 1.994: @@
 | Time || Uhrzeit des Neustarts (Stunde:Minute)
 |-
-| Event || Router kann mit digitalem Eingang neugestartet werden. Signal sollte nach einem Neustart wieder "Low" sein
+| Event || Router kann mit digitalem Eingang neu gestartet werden. Das Signal sollte nach einem Neustart wieder "Low" sein
 |}
@@ Zeile 1.907: / Zeile 2.136: @@
 '''3) SMS versenden'''
-<?xml version="1.0"?
+<?xml version="1.0"?>
 <cmgs destaddr="0123456789">Dies ist der SMS-Text</cmgs>

Manual CT-Router LTE: Unterschied zwischen den Versionen

Aktuelle Version vom 21. November 2023, 16:16 Uhr

Konfiguration über WBM (Web Based Management)

Start der Konfiguration

Device Information

Hardware

Software

Status

Radio

Network Connections

IPsec Status

OpenVPN Status

I/O Status

Serial-COM

Routing Table

DHCP Leases

System info

Local Network

IP Configuration

DHCP Server

Static Routes

Wireless Network

Radio Setup

SIM und Backup SIM

SMS Konfiguration und Steuerung

Packet Data Setup

Static Routes

DynDNS

Connection Check

Device Services

Web Setup

Web Configuration

Web Certificates

Web Server Firewall

SSH Setup

SSH Configuration

SSH Firewall

SNMP Setup

SNMP Setup Configuration

SNMP Setup Firewall

COM Server Setup

COM Server Setup Configuration

COM Server Firewall

Socket Server

Socket Server Configuration

Socket Server Firewall

Network Security

General Setup

Firewall (Stateful Packet Inspection Firewall)

IP and port forwarding

Exposed host (Server einrichten)

Masquerading

VPN

IPsec

Connections

Connections Settings

Connection IKE

Certificates

Firewall

OpenVPN

Connections

Bridge

Server

Client Table

Port Forwarding OpenVPN

Certificates OpenVPN

Static Keys OpenVPN

I/O - Digitale Inputs und Outputs

Inputs

Outputs

Phonebook

Authentication

User (Passwörter)

Trusted CA certificates

System

System Configuration

Log-File

SMTP Configuration

Configuration Up-/Download

Konfiguration über SSH und XML-Datei