WLAN, VPN, ADSL, QoS, ISDN, WPA2, NTP, IP-sec, Capi – eine lange Liste an Technologien – und alles Funktionen, die der Lancom 1821 beherrscht.

Es gibt Router mit eingebautem ADSL-Modem. Es gibt Router mit LAN-Switch. Es gibt Router mit WLAN-Access-Point. Es gibt Router mit VPN-Client und Server-Diensten. Und dann gibt es den »1821« von Lancom, der hat einfach alles – plus diverse Extras. Er integriert 54-MBit/s-WLAN (a/b/g), VPN, 4-Port-LAN-Switch, ISDN-Backup mit LAN-Capi, ADSL-Modem und eine Fülle an Sonderfunktionen.

Das kleine Tischgerät verfügt über vier LAN-, einen ADSL-, einen seriellen- und einen ISDN-Port plus zwei WLAN-Antennen. Der ADSL-Port fungiert als regulärer WAN-Port mit dem integrierten Modem, das auch für die ADSL-Varianten mit mehr Bandbreite taugt. Der ISDN-Anschluss erfüllt eine ganze Reihe an Funktionen. Der Administrator kann eine ISDN-Backup-Verbindung für den Internet-Zugang einrichten. Fällt der ADSL-Zugang aus, wählt sich der Router über einen oder zwei B-Kanäle ein. Diese Funktion ist durchaus sinnvoll. Zwar hängen DSL und ISDN in Deutschland an einem Kabelstrang, und wenn dieser einen physischen Schaden bekommt, geht gar nichts mehr. Doch wie T-Online-Kunden aus eigener Erfahrung wissen, fällt nur sehr selten die physische Anbindung aus. Alle in den Außenlabors der Network Computing bisher aufgetretenen Störungen des DSL-Anschlusses ereigneten sich auf einem höheren Netzwerklayer, so dass zwar der physische ADSL-Link bestehen blieb, jedoch kein Login funktionierte. In diesen Fällen hilft ein ISDN-Dial-Backup zu einem anderen Provider.

Info

Lancom 1821 ADSL WLAN VPN Router

Hersteller: Lancom

Charakteristik: Router mit IDS, Firewall, integriertem ADSL-Modem, 54-MBit/s-WLAN, ISDN-Backup und VPN-Gateway.

Kurzbeschreibung: Der Lancom 1821 enthält eigentlich alle Funktionen, die derzeit für WAN-Router zur Verfügung stehen. Das Gerät integriert ein ADSL-Modem, einen frei mit VLANs konfigurierbaren Vier-Port-LAN-Switch, ein 54-MBit/s-WLAN, das als Access-Point oder Wireless-Bridge arbeitet, sowie einen VPN-Server/Client für IPsec und PPTP.

Web: www.lancom.de

Preis: Liste 800 Euro, Straße 530 Euro

Außerdem kann der Router über den ISDN-Zugang Capi-Dienste im LAN bereitstellen. Diese »LANCAPI 2.0« offeriert Lancom bereits seit den ersten ISDN-Routern. Zu guter Letzt kann sich der Verwalter direkt in den Router einwählen, um diesen fernzukonfigurieren. Das gibt dem Verwalter die Sicherheit, dass er selbst an ein völlig verkorkst eingestelltes Gerät herankommt, auch wenn dieses durch Fehler in der Konfiguration weder aus dem Intra- noch aus dem Internet zu erreichen ist.

Auch der RS232-Port fungiert in erster Linie als Konfigurationsschnittstelle. Ab der kommenden Firmwareversion 5 lässt sich darüber aber auch ein Modem mit AT-Kommandosatz steuern. Diese Funktion interessiert vor allem Installationen im Ausland. In Deutschland bekommt man fast immer einen ADSL-Anschluss gemeinsam mit ISDN geliefert, das ist in anderen Ländern eher selten. Mangels ISDN-Anschluss kann hier die serielle Schnittstelle mit einem Modem und einem Analoganschluss für den Backup-Link sorgen.

Die vier LAN-Ports arbeiten in der Vorgabekonfiguration als 4-Port-LAN-Switch. Die logische Konfiguration verwaltet das WLAN nebst aller LAN-Ports in einem logischen Netzwerk. Doch der Anwender kann die Netze über VLANs trennen. Jeder LAN-Port und das WLAN können als einzelne Router-Ports mit einem jeweils eigenen IP-Adressraum arbeiten. Auch die verschiedenen eingehenden VPN-Verbindungen lassen sich dezidierten VLAN-Segmenten zuweisen. Für Konfigurationen dieser Art muss der Administrator jedoch sehr tief und manuell in die Konfigurationstabellen. Noch gibt es keine Wizzards oder automatische Setup-Funktionen, die Port-abhängige VLANs erstellen und dazu passend die Routing-Tabellen anpassen. Das wird laut Hersteller jedoch mit der nächsten Version des Routerbetriebssystems LCOS 5 kommen.

Besondere Optionen integriert Lancom auch in den WLAN-Access-Point. Der 1821 unterstützt alle Funkmodi, von 802.11b über g und a. Im 5-GHz-Band arbeitet das Gerät – anders als viele Billig-APs – in zwei Frequenzbändern 5,2 und 5,6 GHz. Im oberen Frequenzband schaltet der 1821 dann auch auf die zulässige Maximalleistung von 1 Watt und ermöglich damit größere Funkreichweiten. Gemeinsam mit einer passenden Richtantenne lassen sich damit auch Funkbrücken über eine Distanz von mehreren Kilometern einrichten. Das WLAN-Modul kann somit nicht nur als Access-Point für Mobile-Clients, sondern auch als Bridge für Netzwerksegmente in Nachbargebäuden fungieren.

Im Access-Point-Modus offeriert der 1821 das neue Verschlüsselungssystem 802.1i, welches auch unter dem Namen WPA-PSK bekannt ist. Hierbei trägt der Anwender einfach auf der Seite des AP und auf der des Clients eine eindeutige Passphrase als Schlüssel ein. WPA-PSK liefert, dank AES-Verschlüsselung, eine wesentlich höhere Sicherheit als WEP und lässt sich zudem viel einfacher einrichten. Hier gab es in der Praxis immer Probleme zwischen Geräten verschiedener Hersteller.

Als neue Funktion integriert Lancom den W-Spot. Darüber kann der Anwender einen Public-Hot-Spot errichten, dessen Internet-Zugang über ein Billing-System abgerechnet wird. Der Router leitet alle WLAN-Anfragen an einen vorgegebenen Web-Server um. Dort muss sich der WLAN-Anwender authentifizieren und erhält erst dann den Internet-Zugang. Die W-Spot-Konfiguration enthält bereits Templates für Billing-Zugänge diverser kommerzieller Anbieter.

Auch bei den Sicherheitsfunktionen trumpft der 1821 groß auf. Neben den Standards wie Packet- und Stateful-Inspection-Firewall integriert Lancom ein Modul zur Intrusion-Detection und -Prevention. Fehlerhafte Verbindungsaufbauten, Portscans und halb offene Verbindungen erkennt das Gerät. Erreichte die Zahl der als Attacken eingestuften Verbindungen kritische Werte, trennt der Lancom diese Verbindungen und blockiert die zugehörigen Quell-IP-Adressen.

Das Router-Modul offeriert passende Port-Ausnahmen, um einzelne Ports und Protokolle für eingehende Verbindungen offen zu halten. Über das VLAN-Modul kann der Administrator eine dazu passende DMZ mit einem eigenen IP-Segment an einem physisch isolierten LAN-Port einrichten. Um besondere Protokolle wie SIP (VoIP) mit Vorrang zu behandeln, enthält der Lancom 1821 ein QoS-Modul (Quality of Service). Anders als einfachere Router kann Lancom dabei nicht nur Protokolle physischer Links priorisieren. Auch Protokolle innerhalb eines VPN-Tunnels und der VPN-Tunnel selbst lassen sich mit QoS-Quoten versehen.

In der Grundausstattung verwaltet der Router bis zu fünf simultane IPsec-Verbindungen, ausgehend oder ankommend. Über eine kostenpflichtige Option kann der Administrator das Gerät auf 25 simultane VPN-Tunnel aufrüsten. Unabhängig von den IPsec-Verbindungen kann der Router als VPN-Server für PPTP-Clients arbeiten.

Im Test installiert Network Computing den Lancom 1821 im Labor Glonn an einem regulären T-DSL-1000-Anschluss. Der Router ersetzt hier die Kombination aus Lancom-1621-ADSL und Lancom-L54-Access-Point. Das Gerät muss das Netzwerk des Labors mit dem Internet verbinden, einen permanenten VPN-Tunnel zum Labor Poing offen halten und ein WPA-PSK-gesichertes WLAN im 5-GHz-Band betreiben.

Die Konfiguration des Geräts übernimmt das Lancom eigene Windows-Tool »Lanconfig«. Der Router prüft beim Einschalten, ob ein DHCP-Server im LAN arbeitet. Falls ja, schaltet er den eigenen ab und lässt sich eine IP-Adresse geben. In LAN-Segmenten ohne DHCP setzt das Gerät eine 172er-IP-Adresse ein und aktiviert den DHCP-Server.

In beiden Fällen erkennt die Lanconfig-Software das unkonfigurierte Gerät und führt den Administrator in Wizzards durch die Grundkonfiguration. Zunächst richtet das Tool die LAN-Parameter, den Admin-Zugang und die Sicherheitsfeatures wie den eingeschränkten Admin-Zugang ein. Nach einem Neustart des Routers folgt der Internet-Wizzard, welcher den ADSL-Zugang und dessen ISDN-Backup konfiguriert. Der Wizzard enthält dabei Templates für gängige Provider. So muss man beim T-Online-Zugang nicht händisch den Login-Namen aus der Benutzer- und Anschlussnummer plus Unterbenutzer und »@t-online.de« zusammenbauen. Der Wizzard stellt passende Felder für die T-Online-Daten dar und richtet automatisch das PPP-Konto mit der passenden Syntax ein. Weitere Wizzards konfigurieren VPN-Verbindungen oder das WLAN. Letzteres lässt sich im Handumdrehen konfigurieren und sofort nutzen. Im Test arbeiten sowohl eine Lancom WLAN-Karte als auch eine Dlink-Karte sofort mit dem WPA-PSK-gesicherten Netzwerk. Auf herstellerspezifische WLAN-Config-Tools lässt sich auf der Client-Seite verzichten. Die Windows-XP-eigene WLAN-Konfiguration unterstützt ab SP2 die 802.11i-Verschlüsselung.

Die VPN-Verbindung zwischen Lancom und Astaro-Firewall im Labor Poing bedarf ein wenig Handarbeit. Abweichend von der IPsec-Konfiguration des VPN-Wizzards muss der Administrator ein paar Parameter modifizieren, bis sich die zwei VPN-Gateways untereinander verstehen. Lancom unterhält für diese Probleme eine ausführliche Knowledge-Base im Internet, welche die Konfigurations-Parameter mit Verbindungen zu fast allen handelsüblichen VPN-Gateways anderer Hersteller beschreibt. Dort findet der Anwender auch eine exakte Anleitung, wie er PPTP-Zugänge für Clients einrichtet.

Fazit: Der Lancom-1821-ADSL-WLAN-VPN-Router enthält fast mehr Features, als ein reguläres mittelgroßes oder gar großes Netzwerk überhaupt benötigt. Dabei geht der Test nicht einmal näher auf all die vielen praktischen kleinen Features wie Dyndns-Client, NTP-Client/Server, LAN-Capi, Aktionstabellen, tageszeitabhängige Filter und viele andere ein. Sehr positiv fallen dabei die völlig flexibel konfigurierbaren Ports ins Gewicht. Wichtig ist dabei, dass das WLAN-Modul eben nicht nur als Access-Point, sondern auch als WLAN-Bridge zu entfernten Routern fungieren kann.

Unabhängig vom Gerät selbst gehört Lancom als Hersteller zu einer der Support-freundlichsten Firmen. In regelmäßigen Intervallen bringt das Unternehmen Firmware-Updates mit neuen Funktionen auf den Markt, und die nicht nur für die jeweils aktuelle Produktpalette. Auch Geräte alter Serien bekommen die neuen Funktionen, und zwar kostenfrei. So hat Lancom mit der Version 5 des LCOS verbesserte Wizzards und weitere Features in Aussicht gestellt, die nicht nur dem 1821, sondern fast allen Geräte zugute kommen. [ ast ]