Im Test: Lancom-VPN-1711-Router
Leistungsfähiger DSL-Router
Kostengünstige DSL-Verbindungen ermöglichen es, verteilte Standorte zum preiswerten Tarif und schnell mit zentralen Servern zu verbinden. Besonders für kleinere Unternehmen mit bis zu 25 Clients bietet sich hierzu der 1711 VPN von Lancom an.
Das Gehäuse des Lancom-1711-VPN-Geräts ist aus massivem Kunststoff in schwarz und silber
gefertigt. Neben vier als "LAN1" bis "LAN4" bezeichneten RJ45-Ethernet-Anschlüssen für den
10/100-MBit-Betrieb finden sich Anschlüsse für WAN und ISDN-S0. Soll die Appliance direkt per
Konsole parametriert werden, so geschieht dies über eine serielle Kabelverbindung. Ein
Anschlusskabel für RS485 auf RS232C ist beigelegt. Ein Taster, der mit einem spitzen Gegenstand zu
betätigen ist, erlaubt den Geräte-Reset. Auf der Vorderseite sind durch den schwarz-transparenten
Kunststoff Leuchtdioden für Power, Online, WAN-Status/Data, ISDN-Status/Data, LAN1 bis LAN4,
Security und VPN zu erkennen. Die MAC-Adresse, Seriennummer und genaue Modell-Bezeichnung sind auf
der Geräteunterseite als Aufkleber angebracht.
Innerhalb des Gehäuses arbeitet eine Intel-PXA420-CPU mit 266 MHz Taktfrequenz. Der Prozessor
auf Basis des Xscale-Kerns greift auf 16 MByte RAM und 8 MByte ROM zu.
Die Stromversorgung wird über ein Stecknetzteil mit 12 Volt bei 1200 mA hergestellt. Als
Prüfzeichen findet sich das Zeichen GS für "Geprüfte Sicherheit", ausgestellt von ITS. Auch wenn
das Niedervoltanschlusskabel erfreulich lang ausfällt, so wäre ein Netzteil mit Kaltgerätekabel für
den Einsatz im Serverschrank angenehmer. Für die Wandmontage findet sich eine Bohrschablone im
Lieferumfang. Die für den Betrieb notwendigen Netzwerkkabel liegen ebenfalls bei und sind farblich
markiert, was den Aufbau des Geräts vereinfacht.
Dokumentation
Als Dokumentation liefert der Hersteller ein 16-seitiges DIN-A5-Heftchen zur
Softwareinstallation und zum Aufbau des Geräts mit. Das komplette Handbuch und technische
Referenzunterlagen finden sich als PDF-Dateien auf der Installations-CD. Die deutschsprachige
Dokumentation für das LCOS-System ist mit über 371 PDF-Seiten umfangreich und zugleich verständlich
ausgefallen. Das Online-Forum von Lancom dient als zusätzliche Informationsquelle für diverse
Einssatzszenarien. Soll beispielsweise eine VPN-Verbindung zwischen Lancom- und Cisco-Geräten
eingerichtet werden, so bietet der Hersteller im Internet eine Schritt-für-Schritt-Anleitung
an.
Anwendungsgebiete
Neben der einfachen Anbindung an das Internet über DSL bietet der Lancom 1711 VPN-Verbindungen
und stellt dabei vor allem eine flexible Infrastruktur für die Kopplung zweier Netzwerke dar.
Für viele Szenarien ist eine Standleitung mit 2 MBit mit den resultierenden Kosten von mehr als
1000 Euro im Monat übertrieben. Mit den günstigen Flatrates für DSL lassen sich
Standortverbindungen für einen Bruchteil der Kosten aufbauen. Diese Methode hat jedoch Tücken.
Verwenden beide zu verbindenden Netze als Internetanbindung ADSL, so wird die effektive
Geschwindigkeit der Verbindung durch die Upstream-Leistungen bestimmt. Aktuell wird ein
Standard-DSL-1000-Vertrag üblicherweise mit einem Upstream von 128 oder 196 KBit/s angeboten.
Der zweite Haken an ADSL ist der Einsatz dynamischer IP-Adressen. Mit jeder Einwahl wird dem
Router durch den Provider eine andere IP-Adresse zugewiesen. Diese bleibt solange erhalten, bis die
Verbindung abgebaut wird. Dies geschieht beim Einsatz von Flatrates jedoch selten freiwillig.
Provider wie T-Online führen einen automatisierten Abbruch der Verbindung mindestens einmal in 24
Stunden durch. Je nach Auslastung der IP-Adressen in einer Region kann dieser Zwangs-Disconnect
auch häufiger durchgeführt werden. Wenn jedoch keiner der Kommunikationspartner über eine feste
IP-Adresse verfügt, wie sollen sich die Geräte dann im Internet finden, um die Tunnel
aufzubauen?
Hier kommen Anbieter von dynamischen DNS-Diensten zum Zug. Der Client, in diesem Fall der
Router, kontaktiert in regelmäßigen Abständen einen stets erreichbaren DNS-Server und übermittelt
die aktuelle IP-Adresse. Somit ist eine Auflösung eines Namens in eine IP-Adresse möglich und die
Verbindung kann aufgebaut werden. In der Praxis kann es bei Verwendung von dynamischen DNS-Diensten
jedoch zu Problemen kommen, die für den professionellen Einsatz inakzeptabel sind. Lancom hat einen
großen Teil seiner Router aus diesem Grunde mit ISDN-Interfaces ausgestattet. Anstelle des
Austauschs der IP-Adresse über das Internet ruft ein Router über das Telefonnetz den gewünschten
Kommunikationspartner an und fragt die aktuell zugewiesene IP-Adresse ab. Nachdem beide Partner die
IP-Adresse der Gegenstelle wissen, kann so die Initiierung der VPN-Tunnel eingeleitet werden.
Dieses Verfahren wird von Lancom als "Dynamic VPN" bezeichnet und kann alternativ zur Verbindung
über das dynamische DNS verwendet werden.
Einfaches Handling mit Assistenten
Der erste Schritt nach dem Verkabeln des Lancom 1711 VPN besteht in der Installation der
Software von der beiliegenden CD-ROM. Die CD enthält Software für eine Reihe von Lancom-Geräten.
Die Programme "Lancom Monitor" und "Lancom Config" ließen sich im Test ohne Probleme auf einem
Windows-XP-Professional-System mit installiertem Service Pack 2 und deaktivierter Personal Firewall
installieren. Nach der Installation, die nur wenige Sekunden in Anspruch nahm, fanden sich beide
Programme im Startmenü. Viele Einstellungen gehen mit der übersichtlichen Software intuitiv von der
Hand. Wizards unterstützen auch Anwender, die nicht regelmäßig VPN-, Firewall- oder Internetzugänge
konfigurieren. Der aktuelle Status der Geräte wird in Echtzeit angezeigt. Im unteren Bereich der
Konfigurationssoftware sieht der Anwender die Historie aller Befehle mit dem jeweiligen
Endergebnis. Sollen Änderungen von einem Arbeitsplatz aus durchgeführt werden, der nicht über die
Lancom-Config-Software verfügt, so lassen sich alle Parameter auch über das Webinterface direkt
eingeben. Selbst hier muss nicht auf die Unterstützung der Assistenten verzichtet werden. Der
Lancom Monitor überwacht alle Geräte im Netzwerk permanent auf deren Zustand.
Testszenario
Für den Test haben wir den Lancom 1711 VPN als zentralen Internetrouter konfiguriert. Nachdem
das Netzwerkkabel eingesteckt und das Gerät eingeschaltet wurde, zog sich der Router automatisch
über den DHCP-Server eine IP-Lease. Mit Hilfe der Konfigurationssoftware oder des Webinterfaces
kann anschließend die Parametrierung des Geräts beginnen. Die Assistenten führen durch die
Grundeinstellungen und die Sicherheitseinstellungen. Sie helfen beim Konfigurieren des
Internetzugangs, beim Bereitstellen der Gerätezugänge, verbinden Netzwerke, konfigurieren die
Firewall und richten Dynamic DNS ein.
Zu Beginn lohnt es sich, nach Updates der Firmware zu suchen. In unserem Fall war die Software
im Internet bereits eine ganze Versionsnummer weiter als die installierte Firmware. Vom Begriff "
Firmware" hat sich Lancom allerdings bereits seit Jahren verabschiedet. Das als LCOS bezeichnete
eigene Betriebssystem bildet eine einheitliche Plattform für alle Geräte des Hauses. Nach dem
Download der rund 1,4 MByte großen Update-Datei bot das Programm das direkte Einspielen des neuen
Systems an, empfahl jedoch. die vorhandene Konfiguration zuvor in einer Datei abzuspeichern.
Besonders praktisch ist die Funktion, die im nächsten Dialogfeld angeboten wird: Das neue System
einzuspielen und fünf Minuten lang zu testen. Wird eine dazu passende Abfrage nach Ablauf der Zeit
nicht mit "Ja" beantwortet, stellt sich das ursprüngliche System wieder her. Wer schon einmal bei
einem Update die komplette Konfiguration verloren hat, wird sich eine solche Funktion für die
meisten Geräte wünschen.
Nach dem Update der Firmware war ein Zugriff mit der Konfigurationssoftware nicht mehr möglich,
da sich beide nicht mehr verstanden. Auch die Windows-Software musste noch mit einem Download auf
den neuesten Stand gebracht werden.
Anschließend sollte der bereits etablierte DSL-Router in der Testumgebung durch den Lancom 1711
VPN ersetzt werden. Die T-Online Konfiguration ist mit Hilfe des Wizards kein Hexenwerk.
Offensichtlich haben die Entwickler bei Lancom schon einmal Lehrgeld bei T-DSL zahlen dürfen. Wird
das Passwort einige Male falsch hintereinander eingegeben, so ist nämlich bis kurz nach Mitternacht
der T-Online Zugang gesperrt. Um hier eine Fehleingabe zu verhindern, wird jedes Passwortfeld
zweimal abgefragt. Auch das "Zusammenkleben" von T-Online-Nummer und Anschlusskennung entfällt, da
das Fenster entsprechend der Informationen von T-Online aufgebaut ist. Neben T-Online sind passende
Dialoge für verschiedene andere Anbieter vorkonfiguriert. Der Betrieb mit vorgeschaltetem Router
ist ebenfalls möglich.
Ob der Router mit einem Flatrate-Vertrag betrieben wird oder sich nach kurzer Zeit wieder in den
Offline-Mode schalten soll, ist die Frage im nächsten Dialogfeld. Das ISDN-Interface lässt sich mit
Hilfe des Wizards als Fallback-Line für DSL einrichten. Sowohl für DSL als auch ISDN besteht die
Möglichkeit, Limits für Verbindungszeiten festzulegen. Bei Erreichen des Limits zeigt die Power-LED
ein Blinksignal. Eingegeben werden dann Standardeinträge wie Passwort, Systemname, Uhrzeit, Name
und Kontaktdaten des Systembetreuers. Von einer Netzwerkmanagementsoftware aus lassen sich diese
Daten sowie Leistungszähler über SNMP abfragen. Eine Übersicht der unterstützten Traps findet sich
im Handbuch.
VPN-Verbindungen zu verschiedenen Herstellern
Sobald die Internetverbindung steht, lassen sich VPN-Netzwerkkopplungen konfigurieren.
Verschlüsselt wird mit 3DES bei einer Schlüssellänge von 128 Bit (effektiv 112 Bit), AES bei einer
Schlüssellänge von bis zu 256 Bit oder Blowfish. Erfolgt die Verbindung zur Gegenstelle über ISDN,
so werden Kennwort, Rufnummernprüfung oder Rückruf als Sicherheitseinstellungen angeboten. Welcher
der Kommunikationspartner über dynamische IP-Adressen verfügt oder ob dynamisches VPN verwendet
werden soll, ist mit Hilfe der Softwareassistenten schnell festgelegt. Soll über VPN allerdings
eine Kopplung mit IPX-Netzwerken aufgebaut werden, überschreitet dies die Fähigkeiten des Wizards.
Der Administrator muss in den Expertenmodus wechseln und die "External Network Numbers" von Hand
einpflegen.
In der Rubrik "Interoperabilität" geben sich die Lancom-Geräte weltmännisch und bieten sich als
Kommunikationspartner für Astaro, 3Com, Cisco, Nokia, Watchguard, Juniper, Netopia, Bintec,
Draytec, Netgear, D-Link oder Linux-basierende Systeme im Allgemeinen an. Für mobile Anwender
bietet Lancom den "LANCOM Advanced VPN Client". Der frühere Standard-VPN-Client, der eigentlich ein
Konfigurationstool für die Windows-VPN-Funktionalitäten darstellte, wird nicht mehr angeboten. Der "
Advanced Client" bietet eine Erweiterung des "Internet Key Exchange" (IKE). War bisher bei
normalen VPN Remote Access Lösungen im IKE-Aggressive-Mode ein gleicher IPSec-Pre-Shared-Key zur
Verschlüsselung und eine X.AUTH-Authentisierung mit Benutzername und Passwort erforderlich, so
entfällt dies beim "Advanced Client". Pro Benutzer wird eine andere Verschlüsselung verwendet. Die
Notwendigkeit zur Verwendung von Benutzernamen und Passwort für die Authentisierung entfällt somit.
Neben Windows-Systemen können auch Mac-OS-X-Rechner mit Hilfe der
Equinux-VPN-Tracker-Client-Software auf die Lancom-Geräte per VPN-Tunnel-Verbindung zugreifen.
Sicherheitstechnisch bietet das Gerät Intrusion Detection für IP-Spoofing, Überwachung von
Login-Versuchen und das Erkennen von Port-Scans. Gegen Denial-of-Services-Angriffen (DoS),
Fragmentierfehler und Synflooding ist das Gerät durch geplantes Deaktivieren von Ports
beziehungsweise Verbindungen gewappnet. Access-Control-Listen können auf IP-Adressen, MAC-Adressen
oder auf Portebene realisiert werden. Alarmierungen des Personals lassen sich per E-Mail, SNMP-Trap
oder SYSLOG-Eintrag abfragen.
CAPI über die virtuelle ISDN-Karte
Die ISDN-Schnittstelle des Lancom 1711 VPN lässt sich mit Hilfe der LANCAPI-Software im gesamten
lokalen Netzwerk bereitstellen. Lediglich die Installation der Software muss noch auf den
gewünschten Windows-Rechnern durchgeführt werden. Der LANCAPI-Client bildet die CAPI-2.0-Schicht
komplett ab und agiert wie eine lokale ISDN-Karte. Das LANCOM-CAPI-Faxmodem simuliert ein Faxgerät
auf jedem Arbeitsplatzrechner, während der MS-Windows-Faxdienst für den Versand von Faxen zuständig
ist.
Fazit
Das Lancom-1711-VPN-Gerät ist unkompliziert einzurichten und zu administrieren. Auch wenn das
Gerät primär für den Einsatz in kleineren bis mittleren Unternehmensgrößen konzipiert ist, so lässt
es sich bei Bedarf von fünf möglichen, gleichzeitigen VPN-Verbindungen auf 25 Verbindungen
erweitern. Durch die Eingabe eines Freischaltcodes wird neben der reinen Bereitstellung der Kanäle
aus Softwaresicht auch ein bis zur Freischaltung brachliegender Teil der Hardware aktiviert. Die
Freischaltung der Hardwarebeschleunigung kostet 400 Euro, das Basisgerät selbst wird mit einem
empfohlenen Verkaufspreis von 600 Euro angeboten. Eine Einzellizenz für den Lancom Advanced VPN
Client schlägt mit 110 Euro zu Buche, bei einer 10er-Lizenz sinkt der Preis auf 90 Euro je
Client.
Info: LANCOM Systems Tel.: 02405/499360 Web: www.lancom.de
Lesen Sie mehr zum Thema
