Embed Size (px)
Citation preview
BenutzerhandbuchAudioCodes MediantTM 500 und 500L MSBR
einrichten und bedienen
Version 2.0
Seite 2 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-
Med
iant
500-
500L
_03_
eos_
1411
19
Inhalt:1. Anmeldung ��������������������������������������������������������������������������������������������������������������������������������������������� 32. Übersicht ������������������������������������������������������������������������������������������������������������������������������������������������� 32�1 Sprachauswahl ���������������������������������������������������������������������������������������������������������������������������������������� 32�2 Kennwort ändern ������������������������������������������������������������������������������������������������������������������������������������ 32�3 Neustart �������������������������������������������������������������������������������������������������������������������������������������������������� 32�4 Werkseinstellungen �������������������������������������������������������������������������������������������������������������������������������� 33. LAN ���������������������������������������������������������������������������������������������������������������������������������������������������������� 43�1 LAN Einstellungen ����������������������������������������������������������������������������������������������������������������������������������� 43�2 DHCP Clients ������������������������������������������������������������������������������������������������������������������������������������������� 63�3 Feste IP-Adressreservierung ������������������������������������������������������������������������������������������������������������������� 63�4 WLAN ������������������������������������������������������������������������������������������������������������������������������������������������������ 74. WAN �������������������������������������������������������������������������������������������������������������������������������������������������������� 75. PortforwardingundDemilitarisierteZone(DMZ)(ExposedHost) ��������������������������������������������������������� 85.1 Portforwarding ���������������������������������������������������������������������������������������������������������������������������������������� 85.2 DMZEinstellungen(ExposedHost) �������������������������������������������������������������������������������������������������������� 96. Telefonie�������������������������������������������������������������������������������������������������������������������������������������������������� 96.1 Rufnummern(MSN)Zuordnung ������������������������������������������������������������������������������������������������������������ 96�2 Wechsel von ISDN auf IP-TK-Anlage ���������������������������������������������������������������������������������������������������� 107. VollerAdminzugriff ������������������������������������������������������������������������������������������������������������������������������� 108. VPN Nutzung an EWE business DSL voice/voice+ Anschlüssen����������������������������������������������������������� 118.1 FRITZ!BoxVPNausdemLANdesM500/L–Aufbau ���������������������������������������������������������������������������� 118.2 ÜbersichtderKonfigurationsschritte ��������������������������������������������������������������������������������������������������� 118.3 AnschlussM500/LundFRITZ!BoxalsVPNServer–AnschlussderEndgeräte ����������������������������������� 118.4 FRITZ!Boxfür„vorhandenenAnschlussZugangüberLAN“konfigurieren ������������������������������������������ 128�5 Netzwerkeinstellungen ������������������������������������������������������������������������������������������������������������������������� 148.6 WeiterleitungzurFRITZ!BoxaufdemM500/Lanlegen ���������������������������������������������������������������������� 158.7 EinrichtungeinerfestenIP-AdresseinderDHCP-Clients-ReservierungdesM500/L ������������������������� 168.8 EinrichtungderFRITZ!BoxalsDMZ-Host ��������������������������������������������������������������������������������������������� 168.9 VPNaufderFRITZ!Boxeinrichten �������������������������������������������������������������������������������������������������������� 178.10WANIP-AdressedesM500/L ��������������������������������������������������������������������������������������������������������������� 178.11GenerierteVPNAnleitungderFRITZ!Box �������������������������������������������������������������������������������������������� 188.12HäufiggestellteFragen ������������������������������������������������������������������������������������������������������������������������� 199. L2TP Server ������������������������������������������������������������������������������������������������������������������������������������������� 2010. IPSecTunneling–Konfigurationsbeispiele ������������������������������������������������������������������������������������������� 2011. WeitereInformationen ������������������������������������������������������������������������������������������������������������������������� 22
Seite 3 von 22
1. Anmeldung • RufenSiedieWeboberflächeimBrowserIhrerWahlüber
„htt ps://192.168.0.1/“ auf� • Melden Sie sich mit dem Usernamen „User“ und initial
mit dem Passwort „User“ an� Nach der ersten Anmeldung können Sie ein persönliches Passwort erstellen�
• KlickenSieaufdenButton„Login“�
2. ÜbersichtNachdemerfolgreichenLogingelangenSieaufdieÜbersichtsseiteIhresAudioCodesMediant500oder500LMSBR(imFolgendenM500/L).DortfindenSienebeneinigenAllgemeinen Informati onenauchdieNavigationsleisteÜbersicht auf der linken Seite,sowiedieSchnellzugriffsfunktionen(Sprache, Neustart, Akti on, User) in der oberen rechten Ecke�
2.1 SprachauswahlWählenSieinderNavigationsleistezwischendeutscheroderenglischerSprache.
2.2 Kennwort ändernÜberdenButtonUserkönnenSieIhrKennwortfürdenLoginändern.
2.3 NeustartBeieinemNeustartbleibenalleEinstellungenerhalten.DieTelefon-undInternetverbindungwirdfürdieDauer des Neustartes getrennt�
2.4 WerkseinstellungenÜberdenButtonAktionenkönnenSiedieStandardwerteIhresM500/Lwiederherstellen,umalleindivi-duellen Einstellungen zu löschen�AlleEinstellungsänderungen,wiez.B.LANIP-Adressen,WLANEinstellungen,PortForwardingusw.wer-den zurückgesetzt oder gelöscht�
Seite 4 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
3. LANÜberdenMenüpunktLANerhaltenSienützlicheInformationenzumStatusIhreskabelgebundenenloka-lenNetzwerks(LAN)undWLAN.IndendarunterbefindlichenMenüpunktenlassensichauchEinstellungenwieIP-Adressen,WLANSSIDoder das Passwort anpassen�
3.1 LAN EinstellungenIP-Adresse Ihres M500/L ändernWennSiedieIP-AdresseIhresM500/Ländernmöchten,tragenSieimFeldIP-Adresse Ihre gewünschte LANIP-AdressefürIhrenM500/Lein.Wenn Sie alle Einstellungen angepasst haben, klicken Sie „Apply“�IhrM500/ListdanachimBrowserebenfallsüberdieseIP-Adressezuerreichen.
Wichti g!SolltenSiedieautomatischeAdressvergabeanangeschlossenenEndgerätenüberDHCPnutzen,müssen Sie den vergebenen IP-Adresspool ebenfalls anpassen�
Seite 5 von 22
DHCP-Pool Ihres M500/L ändernWennSiedenzuvergebenenIP-AdresspoolfürdasLANIhresM500/Ländernwollen,tragenSiedieerstezu vergebene IP-Adresse im Feld Erste IP-Adresse und die letzte im Feld Letzte IP-Adresse ein�Sollten Sie die IP-Adresse IhresM500/L geändert haben, tragen Sie die neue IP-Adresse in das FeldIP-Adresse des primären DNS-Servers ein�Wichti g!DervergebeneIP-Adresspool,sowiederDNS-ServersolltenimmerzurIP-AdresseIhresM500/Lpassen.DHCP deakti vierenWenn Sie die automatische IP-Adressvergabe im LAN deaktivieren wollen, ändern Sie die OptionDHCP-ServerAktivierenaufDeaktivierenundklickenSie„Apply“�Wichti g!AngeschlosseneGeräteerhaltennunkeineIP-AdressenmehrvonIhremM500/L.Daeinepas-sende IP-AdressefürdieNetzwerkkommunikationunerlässlich ist,müssenangeschlosseneGerätenunmanuell oder über einen anderen DHCP-Server IP-Adressen zugeordnet werden�
Seite 6 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
3.2 DHCP ClientsImMenüpunktDHCP-ClientskönnenSiesehen,welcheEndgeräteüberLANoderWLANeineIP-AdressevonIhremM500/Lerhaltenhaben.
3.3 Feste IP-AdressreservierungÜberdenMenüpunktDHCP-Clients-ReservierunghabenSiedieMöglichkeiteinzelnenEndgeräteneinefesteIP-AdresseausdemdefiniertenIP-Adressraum(sieheLAN-Schnittstelle)festzuzuordnen.DiesbenötigenSie,wenneinLAN-EndgerätimmerunterderselbenAdresseerreichbarseinsoll.InsbesondereinKombinationmitPort-Forwarding-RegelnodereinesDMZ-HostssolltendieZielendgeräteeinefesteIP-Adresseerhalten.
Feste IP-Adressen anlegen
Seite 7 von 22
3.4 WLANÜberdieWLAN-Einstellungen könnenSiemit der SchaltflächeWLAN-SchnittstelledasAusstrahlen IhresWLANein-bzw.ausschalten.StandardmäßigistdiesbeiIhremM500Leingeschaltet,derM500verfügtnichtüberWLAN.DieZugangsdatenfindenSieaufderRückseiteIhresM500L.AuchdenNamenIhresWLAN(SSID)oderdaszugehörigeKennwortkönnenSieüberdieseOberflächeanpassen.
4. WANDerMenüpunktWANenthältdiverseStatusinformationenzurDSL-SynchronisationundderInternetver-bindung.UnteranderemfindenSiehierdieSynchronisationsratenunddieWANIP-Adresse,dieSieüberIhrenKundenLogin–„MeinEWE/swb/osnatel“(statisch)einrichtenkönnen.DieserMenüpunktbeinhaltetkeine Einstellungsfelder�
Seite 8 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
5. Portf orwarding und Demilitarisierte Zone (DMZ) (Exposed Host)MöchtenSie,dassDiensteaufeinemodermehrerenIhrerLAN-ClientsausdemInterneterreichbarsind,bietetIhnendieWeboberflächeIhresM500/LzweiMöglichkeiten.SiekönnenperPortforwardingeinzelneRegelndefinieren,welcherDienstvonwelchemLAN-ClientausdemInter-neterreichbarist.MöchtenSiezumBeispieleineneigenenWebserverinIhremLANbetreiben,könnenSieübereinePortforwarding-Regelsicherstellen,dassausschließlichderHTTP-DienstdesWebserverserreichbarist.EineDemilitarisierteZone(DMZ)(ExposedHost)isteinLAN-Segment,dassowohlausdemLANalsauchausdemInterneterreichbarist.IndiesemLAN-SegmentfindensichüblicherweiseServerdienste,dieausdemInterneterreichbarsind.Dadurchsolltendieseaberspeziellgesichertsein.IhrM500/LbietetIhnendieMöglichkeiteinenDMZ-Hostzukonfigurieren,aufdenalleAnfragenausdemInternetzuPortsweitergeleitetwerden,diefürdieTelefonieoderAutokonfigurationIhresM500/Lgenutztwerden.EinezusätzlicheFirewall,umihrLANvorZugrif-fenausdemInternetzuschützen,istdashäufigsteAnwendungsbeispielfüreinenDMZ-Host.
5.1 Portf orwarding – Port-WeiterleitungIhrM500/LbietetdieMöglichkeiteinzelnePorts(TCP/UDP)aufdemRouteraneineIP-AdresseinIhremLANwei-terzuleiten� Anwendungsszenarien sind hier die Nutzung eines internen Servers, der aus dem Internet erreichbar seinsoll.BeispielsweiseeinWeb-oderMailserver.GrundsätzlichkönnenSieallePortsweiterleiten,dienichtfürdieBereitstellungdesSprachdienstsoderManage-mentsgenutztwerden:UDP5060,UDP6000-6990undTCP7647
Anlegen einer RegelUmeinePortforwarding-Regelanzulegen,müssenSiezunächstwissen,welchePortsIhrgewünschterDienstnutztundobdieseTCPoderUDPsind.TragenSiedieseInformationenindenFeldern„Protokoll“,„ersterPort“und„letzterPort“ein.NutztderDienstnureinenPort,danntragenSiediesenbeibeidenPort-Feldernein.FüreineZugriffsregelausdemInternetwählenSiebeiderWAN-SchnittstelledieOption„WAN“aus.TragenSieindasFeld„InnerhalbderlokalenIP-Adresse“,dieIP-AdressedesLANClientsein,aufdemderentsprechendeDienstläuft.WählenSieimMenüpunktInnerhalbdeslokalenPort-Modusdie„OptionIdentischmitWAN-Schnittstelle“aus,umamLANClient denselben Port zu nutzen�NatürlichistesauchmöglichunterschiedlichePortsfürWANundLANClientenzuverwenden.BeispielsweiseWAN-seitigdenTCPPort8080unddieWeiterleitungaufPort80.
Seite 9 von 22
5.2 DMZ-Einstellungen – DMZ Host einrichten (Exposed Host)ÜberdenMenüpunktDMZ-EinstellungenkanneinLAN-ClientalsDMZHosteingerichtetwerden.Dabeiwerdenalle eingehenden Anfragen an diesen LAN Client weitergeleitet�AusgenommendavonsindSessions,dievoneinemanderenLANClientüberNATinitiiertwordensindoderdiefolgendenPorts,diedurchdenM500/Lselbstgenutztwerden:UDP5060,UDP6000-6990undTCP7647
Wichti g!AufdemDMZ-HostsindalleDienste/Portserreichbar.SchützenSiedaherIhrenDMZ-HostvorAngriffenausdemInternet.
6. Telefonie
6.1. Rufnummern (MSN) Zuordnung(InderVarianteISDNAnlagenanschluss(Rufnummernblock/DDI) istdieseOptionnichtvorhanden.)WennIhrM500L fürdenBetrieb ISDN-Mehrgeräteanschluss (Einzelrufnummern/MSN)bereitgestelltwird,so istesggf.erforderlichdieEinzelrufnummerden jeweiligenS0-Ports (ISDN-Anschlüsse)zuzuordnen. IndemzusätzlichenMenüpunktTelefoniemitderMenüoptionMehrgeräterufnummer,werdenalleRufnummern(MSN)aufgelistet.ÜberdenBearbeitenButtonkönnenSiefürdiejeweiligeEinzelrufnummerdenPort(S0-Port/ISDNAnschluss)auswählenandemdiesegenutztwerdensoll.BittebeachtenSie,dassIhreISDNTK-AnlagealsabgehendeMSNnurdielokaleRufnummer(ohneVorwahl)sendenmuss.
Seite 10 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
6.2 Wechsel von ISDN auf IP-TK-AnlageWennSieIhrISDN-TK-SystemgegeneinIP-TK-Systemaustauschen,sokönnenSieIhrenM500/Lweiterbe-treiben.Esistjedocherforderlich,dassderBetriebsmodusIhresM500/LfürdenEinsatzeinerIP-TK-An-lageangepasstwird.DieseÄnderungkannnurdurchdenSupportIhresBetreibersdurchgeführtwerden.BittebeachtenSie,dassggf.fürdenBetriebeinerIP-TK-AnlageeinentsprechendesPortforwarding(siehe5.1Portforwarding–Port-Weiterleitung)erforderlichist.ErkundigenSiesichggf.beidemHerstellerIhresIP-TK-SystemswelcheIP-PortsIhrSystemfürdietechnischenProtokolleSIPundRTPverwendet.
7. Voller Adminzugriff Wichti g! Der volle Adminzugriff kann nur durch den Support Ihres Betreibers freigeschaltet werden.DabeiwirdIhremBenutzerkonto„User“dieAdminrollezugewiesen.DamitkönnenSiealleEinstellungenIhresM500/Lverändern.IhrBetreiberversuchtimmerfürSiedenbestmöglichenSupportbereitzustellen,kanndiesabernurfürvorabgetesteteSzenarienundmanagebarenRouterzuständegarantieren.DaherkannIhrBetreibererstwiedereinenSupportfürIhrenM500/Lgewährleisten,wenndieserdurcheinenWerksresetineinenmanagebarenZustandzurückgeführtwurde.EntstörungandererProduktbestandteile,wiezumBeispieldieDSL-Leitung,sinddavonselbstverständlichausgenommen�Admin-Weboberfl ächeDurch die Rollenänderung erhalten Sie Zugriff auf die Admin-Weboberfläche. Eswird dieselbe Login-Seite,wiefürdieBenutzerweboberfläche(https://192.168.0.1)genutzt.
Seite 11 von 22
Command Line Interface (CLI)DurchdieFreischaltungkönnenSiesichmitIhrenUser-ZugangsdatenausdemLANperSSHaufdieCLIIhresM500/Lverbinden.MeldenSiesichauchdortmitIhrenvergebenenUser-Zugangsdatenan.Das Enable-Passwort lautet „Admin“�
8. VPN Nutzung an EWE business DSL voice/voice+ AnschlüssenEinederhäufigstenAnforderungenfürdiederAdminvollzugriffbenötigtwird, istdieEinrichtungeinesVPN.IhrM500/LunterstütztdabeizweiArtenvonVPN-Funktionen.ErkannalsL2TPServerdienen,zudemsichunterschiedlicheEndgeräteüberdasLayer2TunnelingProto-col(L2TP)mitderpassendenUsername-Passwort-KombinationverbindenkönnenunddannvomM500/LeineLANIP-Adresseerhalten.DarüberkönnenexterneEndgerätebeispielsweiseZugriffaufServerdiensteim LAN erhalten�ÜberdiesistesmöglichzweiM500/LperIPSecTunnelingRücken-an-Rückenzuschalten.DabeibauendieM500/LeineIPSec-VerbindungzumjeweilsanderenGerätaufunddurchAccessControlListenwirdermögli-cht,dassLANClientsdeseinenM500/LaufEndgeräte/ServerimLANdesanderenM500/Lzugreifenkönnen.
8.1 FRITZ!Box VPN aus dem LAN des M500/L – AufbauIm folgenden wird die Einrichtung eines VPNs an Ihrem EWE/swb/osnatel business DSL voice oder businessDSLvoice+Anschlussbeschrieben,wennSieeinenM500/LalsISDN-Gatewayverwenden.DafürwirdeineAVMFRITZ!Box7490oder7590(imFolgendenFRITZ!Box)imLANdesAudioCodesRoutersals VPN Server betrieben�SolltenSieIhrenbusinessDSL-AnschlussnurmiteinerAVMFRITZ!Boxnutzen,verwendenSiedievomHerstellerbereitgestellteAnleitung„VPNmitFRITZ“unter:https://avm.de/service/fritzbox/fritzbox-[FRITZ!Box-Typ,z.B.7530]/wissensdatenbank/publication/show/ 3448_VPN-mit-FRITZ/
8.2 Übersicht der Konfigurationsschritte: 1.AnschlussM500/LentsprechendderbeiliegendenKurzanleitung. 2.LANVerbindungzurFRITZ!BoxjeweilsanPort1. 3.KonfigurationdesInternetzugangsper„vorhandenemAnschlussüberLAN“. 4� Ggf� Anpassung LAN IP-Adressen� 5.FestlegungfesterIP-AdressefürFRITZ!Box. 6.EinrichtungDMZ-Host/PortforwardingzurFRITZ!BoxaufM500/L 7.Ggf.KonfigurationneuesVPNaufFRITZ!Box.
8.3 Anschluss M500/L und FRITZ!Box als VPN ServerIndemimFolgendenbeschriebenenAnschlussszenarioteilensichderM500/LunddieFRITZ!BoxdieLAN,WAN,TelefonieundSecurityAufgaben.DerM500/LsorgtfürdieInternetverbindungüberIhrenbusinessDSL-Anschluss.DazuarbeitetderM500/LalsISDN-IP-GatewayundstelltIhrerISDN-TK-AnlagedieS0-AnlagenanschlüssezurVerfügung.SowohldieInter-net-alsauchdieTelefonie-ZugangsdatenwerdenautomatischbeiInbetriebnahmeIhresM500/Leingerichtet.DieFRITZ!BoxwirdhinterdenM500/LindessenLANgeschaltetunddientfürdenAnschlussderLANClients, sowohlperLANalsauchperWLAN.DieVPNVerbindungwirdebenfallsüberdieFRITZ!Boxrealisiert.HabenSiebereitsinderVergangenheiteineFRITZ!Boxgenutzt,hatdieserAufbaudenVorteil,dassSiediebestehendeKonfigurationIhresWLAN,LAN,Gäste-WLANundVPNweiternutzenkönnen.
WLAN
LAN ClientFRITZ!Box VPN
ADSL/VDSLkein Spliter/NTBA ISDN-TK-Anlage
LAN Client
Anschluss der EndgeräteFolgenSiefürdenAnschlussIhresM500/LderbeiliegendenKurzanleitungBeiderinitialenEinrichtungwirdderRouterautomatischkonfiguriert.Achtung!DieserVorgangkannbiszu30Minutendauern.Schal-tenSiedasGerätwährenddiesesVorgangsnichtausundentfernenSiebitteebenfallsdasDSL-Kabelnicht.NachAbschlussderautomatischenEinrichtunghabenSiebereitsausdemLANoderWLANIhresM500/LZuganginsInternet.EbenfallskönnenSienachAnschlussIhrerISDN-TK-Anlagebereitstelefonieren.StartenSienunIhreFRITZ!BoxindemSiedasbeilegendeStromkabeleinstecken.VerbindenSie„LANPort1IhresM500/L“und„LANPort1IhrerFRITZ!Box“miteinemderbeiliegendengelbenNetzwerkkabel.
8.4 FRITZ!Box für „vorhandenen Anschluss Zugang über LAN“ konfi gurierenDamitIhreFRITZ!BoxZugriffzumInternethat,mussdiesedieVerbindungüberdenAudioCodesM500/Lnutzen.
Internetzugang über den bestehenden Anschluss des M500/LVerbindenSiesichdazuentwederperLAN-KabeloderperWLANmitIhrerFRITZ!Box.DieWLANZugangs-daten,sowiedasinitialePasswortzurBenutzeroberflächefindenSieaufderRückseiteIhrerFRITZ!Box.
WLAN Zugangsdaten und FRITZ!Box-Kennwort auf der Rückseite der Box
Anzeige der geänderten IP-Adresse der FRITZ!BoxAusdemLAN/WLANderFRITZ!BoxrufenSiehttp://fritz.boxinIhremWebbrowserauf.MeldenSiesichmitdemPasswortinderBenutzeroberflächean.ImMenü „Internet → Zugangsdaten“gelangenSiezurKonfigurationdesInternetzugangs.WählenSiebeider Auswahl des Internetanbieters „vorhandener Zugang über LAN“ aus� Wichti g!VerwendenSienichtdieBetriebsart„IP-Client-Modus“ oder „Anschluss an externes Modem oder Rou-ter“.DieFRITZ!BoxerhältnuneineIP-AdressevonIhremM500/LundüberdiesenauchZugangzumInternet.
Wichti g!Dabeiändert IhreFRITZ!Box Ihre IP-Adresse.Dies ist fürdenFallunumgänglich,dassmehrereFRITZ!Boxenhintereinandergeschaltetwerden.IndiesemFallkannesaberdirektwiederkorrigiertwerden.DazuaktivierenSiezunächstdie„Erweiterte Ansicht“überdasMenüinderoberenrechtenEcke.
Seite 14 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
8.5 NetzwerkeinstellungenGehen Sie dazu zum Menüpunkt „Heimnetz → Netzwerk“.Über den Reiter „Netzwerkeinstellungen“könnenSieunteranderemdieIP-AdresseIhrerFRITZ!Box,sowiedasgenutzteLAN-Netzkonfigurieren.ÜberdenButton„IPv4-Adressen“gelangenSiezurKonfigurationsseitedesLANNetzesderFRITZ!Box.HierkönnenSiedieIPv4-AdresseundbeiBedarfauchdieSubnetzmaskebzw.denDHCP-Serveranpassen.Wichti g!BittebeachtenSie,dassdasNetz192.168.0.0(mitderSubnetzmaske255.255.255.0)vonIhremM500/Lgenutztwirdunddaherhiernicht verwendet werden kann�
Seite 15 von 22
Anpassung der IPv4-AdressenDieStandardIPv4-AdressederFRITZ!Boxlautet192.168.178.1.
8.6 Weiterleitung zur FRITZ!Box auf dem M500/L anlegenDader Internetzugriff aus dem LAN/WLANder FRITZ!Box besteht, geht es nundarum, die FRITZ!BoxfürVPN-ZugriffeausdemInterneterreichbarzumachen.DieserreichenSieübereineWeiterleitungzurFRITZ!BoxaufIhremM500/L.Rufen Sie daher die Benutzeroberfläche IhresM500/L über https://192.168.0.1/ im Browser auf. DerBenutzer„User“hatdasInitialpasswort„User“� Nach der erfolgreichen Anmeldung, rufen Sie die Seite „LAN → DHCP-Clients“überdasMenüauf.HiererhaltenSieeineÜbersichtüberdieangeschlossenenLANGerätIhresM500/LundsomitaucheinenEin-tragIhrerFRITZ!Box(fritz.box).NotierenSiesichdieIP-AdresseundkopierenSiedieMACAdressefürdennächstenSchritt.
Übersicht der LAN Clients des M500/LÜbersicht der LAN Clients des M500/L
Seite 16 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
8.7 Einrichtung einer festen IP-Adresse in der DHCP-Clients-Reservierung des M500/LUmsicherzustellen,dassdieFRITZ!BoximmerdiegleicheIP-Adresseerhält,unddieWeiterleitungnichtaufeinfalschesGerätzeigt,mussdieIP-AdressederFRITZ!BoximM500/Lfestzugewiesenwerden.Auf der Seite „LAN → DHCP-Clients-Reservierung“ fügen Sie einen neuen Eintrag über den Button„+Neu hinzufügen“ ein. In dem sichöffnendenDialog fügen Sie bitte die kopierteMACAdresse IhrerFRITZ!BoxunterdemPunktMACunddievorhernotierteIP-AdresseunterdemPunktIP-Adresse ein�
DieFRITZ!BoxerhältabjetztimmerdieselbeIP-AdressevomDHCP-ServerIhresM500/L.KlappenSieimMenüdenPunkt„Erweitert“ auf und rufen die Seite „DMZ“ auf� Hier lässt sich ein sogenann-terDMZ-Hosteinrichten.DMZstehtfürDemilitarisierteZoneundbeschreibteinenBereichdersowohlausdemInternet,alsauchausdemLANerreichbarist.IndiesemFallistdiesgenaueinHostimLANdesM500/L,aufdenalleZugriffeausdemInternetweitergeleitetwerden,diederM500/LnichtfürdieTelefonieoderAutokonfigurationbenötigt.DiesbeinhaltetauchexplizitVPNZugriffe.RichtenSiedaherdieFRITZ!BoxalsDMZ-Hostein.
8.8 Einrichtung der FRITZ!Box als DMZ-HostÄndern Sie dazu die Auswahl des Feldes DMZ akti vieren auf „Akti vieren“ und tragen Sie unter DMZ Host IP-AdressedievorherfestzugeordneteIP-AdresseIhrerFRITZ!Boxein.Überden„Apply“ButtonwirddieWeiterleitungdirektaktiviert.
Seite 17 von 22
8.9 VPN auf der FRITZ!Box einrichtenWennSiebereitseinebestehendeVPN-KonfigurationaufIhrerFRITZ!Boxhaben,kanndiesenundirektgenutzt werden�WennSieeineneueVPN-KonfigurationaufderFRITZ!Boxerstellenmöchten,nutzenSiedieServiceDoku-mentedesHerstellersAVMunter:https://avm.de/service/fritzbox/fritzbox-[FRITZ!Box-Typ,z.B.7530]/wissensdatenbank/publication/show/3448_VPN-mit-FRITZ/DieVernetzungperVPNvonzweiFRITZ!BoxenistebenfallsSchritt-für-SchrittindenServiceDokumentenvonAVMbeschrieben:https://avm.de/service/fritzbox/fritzbox-[FRITZ!Box-Typ,z.B.7530]/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/
Wichti g!BeiderVernetzungperVPNvonmehrerenFRITZ!BoxenmussimmereineFRITZ!BoxdirektalsRouter genutzt werden�FürdenFernzugriffeinesBenutzersfolgenSiederjeweiligenAnleitungfürdasGerätdesBenutzersaufderobengenanntenWebseitevonAVM.Wichti g!DerZugriffaufdenVPN-ServerderFRITZ!BoxausdemInternetgeschiehtüberdieöffentlichWANIP-AdressedesAudioCodesRouters.DieöffentlicheWANIP-AdressekönnenSieüberdieBenutzero-berflächedesM500/Lermitteln,unter„WAN → WAN Schnitt stelle → Informati onen zur Schnitt stelle“�
8.10 WAN IP-Adresse des M500/LDieautomatischgenerierteAnleitungüberdieOberflächederFRITZ!BoxzeigtfürdenZugriffallerdingsdieLANIP-AdresseimNetzIhresM500/Lan.ErsetzenSiedaherdieseAdressedurchdieöffentlicheWANIP-AdressedesM500/L.
Seite 18 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
8.11 Generierte VPN Anleitung der FRITZ!BoxGrundsätzlichsolltebeimZugriffaufamDSL-AnschlussbetriebeneDiensteimmereinefesteIP-Adressegenutzt werden� Diese können Sie über Ihren Kunden Login: „Mein EWE/swb/osnatel“ fest reservieren� DieZugangsdatenhabenSievonunsineinemseparatenSchreibenerhalten.
Verwenden Sie für die Einstellung „Server“ die öff entliche WAN IP-Adresse des M500/L, anstatt der angegebenen LAN IP-Adresse der FRITZ!Box
Seite 19 von 22
8.12 Häufig gestellte Fragen
Frage:HabeicheinSicherheitsproblem,wenndieFRITZ!BoxausdemInterneterreichbarist?Antwort:IhreFRITZ!BoxistdurchdiePortweiterleitunggenausoerreichbar,wiewennsieselbstalsRoutereingesetztwird.Dasbedeutetvorallem,dasssicherheitskritischeZugänge–wiedieBenutzeroberfläche –fürZugriffeausdemInternetgesperrtsind.
Frage:SchließeichmeinenMailserverandenAudiocodesM500/LoderdieAVMFRITZ!Boxan?Antwort:WennSiezusätzlichzurFRITZ!BoxalsVPNServernocheinenweiterenServer–wiebeispiels-weiseeinenMailserver–betreiben,empfehlenwirdiesenimLANIhresAudioCodesM500/Lanzuschlie-ßen.DamitderDienstausdemInterneterreichbarist,müssenSiediesenexplizitübereinPortforwardingaufIhremM500/Lweiterleiten.WiefürjedesPort-ForwardingempfehlenwirweiterhindieEinrichtungeinerfestenIP-AdressenfürdenServer.KonsultierenSiedazudas„BenutzerhandbuchAudiocodesMedi-ant500LMSBR“,dasSieunteranderemhierfinden:https://www.ewe.de/unternehmen/telekommunikation/festnetz-und-internet/dsl/router
Frage:IchhabebeimeinerFRITZ!BoxbisherdasIPNetz192.168.0.0genutzt?KannichdasNetznunnichtmehrnutzen?Antwort: Entscheidend ist lediglich, dass die LANNetzes Ihres AudiocodesM500/L und Ihrer FRITZ!-Boxnicht identischbzw. sichüberschneiden.WennSie imLANNetzderFRITZ!BoxdenAdressbereich192.168.0.0(Subnetzmaske255.255.255.0)nutzenwollen,müssenSiezunächstdieIP-AdresseunddasLANNetzIhresM500/Ländern.KonsultierenSiedazudas„BenutzerhandbuchAudiocodesMediant500LMSBR“,dasSieunteranderemhierfinden:https://www.ewe.de/unternehmen/telekommunikation/festnetz-und-internet/dsl/router AnschließendkönnenSiewieobenbeschriebendieNetzwerkadresse192.168.0.1fürIhreFRITZ!Boxverwenden.
Frage:KannichdasFRITZ!BoxVPNdirektmitderVPNFunktiondesAudioCodesM500/Lverbinden?Antwort:Nein,diebeidenVPNFunktionensindleidernichtkompatibel.
Seite 20 von 22
Stan
d: 1
1/19
BH
_Aud
ioCo
des-Med
iant50
0-50
0L_0
3_eo
s_14
1119
9. L2TP ServerEinrichtungZur Einrichtungdes L2TP Serversmüssen Sie über die CLI IhresM500/L einen l2tp-Server imdata PartderKonfigurationanlegen.DazudefinierenSieeinenIP-Adressbereich aus dem Subnet des LAN, aus dem IP-Adressen für die eingewählten Endgeräte vergeben werden� Weiterhin wird ein ipseckeybenötigt.DanachlegenSiebittezwischen1und8VPNUser mit einem individuellen Passwort an�
Konfi gurati onsbeispielKonfi gurati onsbeispiel
confi gure data l2tp-server ip range 192.168.0.3 192.168.0.18 no ppp authentication pap ppp authentication chap ppp authentication mschap ppp authentication mschapv2 idle-timeout 60 ipsec key LinePass!1 no shutdown exit vpn-users user ewe-vpn password P@ssw0rd exit
ÜberprüfungÜberdenBefehl„show data l2tp-server“ können Sie den Status Ihres L2TP Servers und die eingewählten Clients überprüfen�
# show data l2tp-serverConn# Username IP Rx/Tx Uptime----- ---------------------------- ---------- ------ -------300 ewe-vpn 192.168.0.3 40/33 2Total 1 connections.
10. IPSec TunnelingFürdieEinrichtungbenötigenSiepassendeAccessListenunddiecryptoEinstellungenwieimnebenste-hendenBeispiel.DabeimüssensiediefarbigmarkiertenEinträgeaufIhreEinstellunganpassen.Blau markiert sind die LAN NetzadresseIhresM500/L,sowiedieinvertierteSubnetzmaske� Hat Ihr Router die 192�168�0�1 mit der Subnetzmaske 255�255�255�0, lautet die LAN Netzadresse 192�168�0�0 und die invertierteSubnetzmaske0.0.0.255Rot markiert ist die entfernteLANNetzadresse und die invertierteSubnetzmaske�In grün ist die WAN IP-AdressedesentferntenM500/Lmarkiert,zudemeinIPSecTunnelingaufgebautwerden soll�BittevergebenSieeinsicheresPasswortanstelledeshierinorange markierten IPSec Passworts�NunmüssenSienochdieKonfigurationaufdieWAN-Schnittstellenbinden.DaherwirddieerstelltecryptomapunddieAccessList,diesämtlichenTrafficvonaußerhalbdesTunnelsperNATweiterleitet,aufdasaktiveWANInterfacegebunden.BittebeachtenSie,dassSieaufdementferntenM500/LdieselbenAnpassungenmitderjeweilsanderenWAN IP-Adresse und LAN Netzen vornehmen�
Seite 21 von 22
Konfi gurati onsbeispielKonfi gurati onsbeispiel
Confi gure data
access-list ipsec _ tunnel permit ip 192.168.0.0 0.0.0.255 192.168.112.0 0.0.0.255
access-list all _ but _ ipsec deny ip 192.168.0.0 0.0.0.255 192.168.112.0 0.0.0.255 log
access-list all _ but _ ipsec permit ip any any log
crypto isakmp key P@ssw0rd address 91.92.93.94
crypto isakmp policy 1
encr aes 256
authentication pre-share
hash sha
group 5
lifetime 86400
exit
crypto ipsec transform-set crypto esp-aes 256 esp-sha-hmac
mode tunnel
exit
crypto map MULTI 1 ipsec-isakmp
set peer 91.92.93.94
set transform-set crypto
set pfs group2
set security-association lifetime seconds 3600
match address ipsec _ tunnel
set default-route
exit
interface PPPOE 0
crypto map MULTI
no napt
exit
ip nat inside source list all _ but _ ipsec interface PPPOE 0
exit
Opti onal bei ADSLOpti onal bei ADSL
interface PPPOE 1
crypto map MULTI
no napt
exit
ip nat inside source list all _ but _ ipsec interface PPPOE 1
exit
Opti onal bei FTTHOpti onal bei FTTH
interface PPPOE 2
crypto map MULTI
no napt
exit
ip nat inside source list all _ but _ ipsec interface PPPOE 2
exit
ÜberprüfungÜberdenBefehl„showdatacryptostatus“könnenSiedenStatusIhresIPSecTunnelsüberprüfen.
# show data crypto status
IKE peer [91.92.93.94]
map [MULTI]
status [connected)
interface (s): [pppoe 0]
15-seconds input rate: 0 bits/sec
15-seconds output rate: 0 bits/sec
uptime: 36.28 Minutes
11. Weitere Informati onenRessource Center auf www�audiocodes�com:https://www.audiocodes.com/library/technical-documents?productFamilyGroup=1647&docTypeGroup=Configuration+Notes
• Diverse CLI Guides
• U.A.BasisinformationenzurAudioCodesCLI:mediant-msbr-basic-system-setup-cli-configuration-guide.pdf
• U.A.WeitereBeschreibungzudenSecurityFeaturesinkl.VPN:ltrt-31648-mediant-msbr-security-setup-cli-configuration-guide.pdf
08001393835(kostenlos)service-gk-tk@ewe�de
08008894000(kostenlos)[email protected]
08004334331(kostenlos)business@osnatel�de
