# # ISDNPM 3.03 # Beschreibung einer Verbindung: # # Fr jede Verbindung wird eine eigene Datei angelegt. 'ISDNPM' sucht # im 'UserPath' (isdn.cfg) nach den entsprechenden Dateien. # Auserdem werden die Konfigurationen noch durch entsprechende 'Sections' # (in []) gekennzeichnet. # # Stand: 31.01.2003 # # Kommentarzeilen mit '//' '#' und ';' kennzeichnen # # # Die Dateien mit der Endung '.OUT' sind fr Verbindungen von 'ISDNPM' # als Client zu einem Einwahlserver. Unter dem Dateinamen 'DEFAULT.OUT' # k”nnen die Defaultwerte der Flags fr alle OUT-Konfigurationen gesetzt # werden. # # [OUTGOING] # # Die Dateien mit der Endung '.IN' sind fr Verbindungen von einem Client # zu 'ISDNPM' als Einwahlserver. # Die Authentifizierung erfolgt ber die Rufnummer. # Mit den Authentifizierungsflags "PAP", "CHAP" od. "CHAPMS" kann zus„tzlich # die Authentifizierung durch UserID u. Passwort gefordert werden. # # [INCOMING] # # # Die Datei mit der Endung '.DYN' legt die grundlegende Konfiguration fest # fr Clients, die sich NICHT ber die Rufnummer, sondern ber 'Userid' und # 'Passwort' authentifizieren. # # [DYNAMIC] # # # Die Dateien mit der Endung '.UID' enthalten die 'Userid' und das 'Passwort' # fr Clients, die ber 'Userid' und 'Passwort' authentifizieren. # # [USERID] # # # Viele Parameter sind fr alle Arten der Verbindung gltig. In diesem # Dokument wird bei den Parametern noch angegeben, fr welche Dateien sie # gltig bzw. sinnvoll sind. # # Ist eine Mehrfachauswahl m”glich, dann sind die Parameter entweder durch # Komma ohne Leerzeichen getrennt hintereinander # oder in getrennten Zeilen jeweils mit dem Parameternamen anzugeben. # # # Verbindungen von 'ISDNPM' als Client zu einem Server (*.OUT), enthalten # an erster Stelle eine entsprechende 'Section'. Es folgen alle Parameter, # die bei einer ensprechenden Section eine Rolle spielen. Mit einem # Buchstaben in der 1. Spalte wird gekenzeichnet (nur hier in der DOKU) # fr welche Datei der Parameter wichtig ist. # [OUTGOING] 'O' [INCOMING] 'I' [DYNAMIC] 'D' [USERID] 'U' O # I # 'INFO' dient nur der Dokumentation, es hat keinen Einfluss auf die D # Verbindung. U # INFO : Info String O # I # 'NAME' identifiziert eine Verbindung und muss als erste Zeile D # vor allen Konfigurationsangaben stehen. U # Der Name sollte keine Sonderzeichen oder Leerzeichen enthalten # und nicht l„nger als 32 Zeichen sein. Gross/Kleinschreibung beachten ! # NAME : mywi O # # 'ALTERNATE' bezeichnet eine alternative Verbindung, falls die Verbin- # dung nicht zustande kommt. # ALTERNATE : mywi2 O # # 'CONNECTRETRY' legt den Zeitabstand zwischen zwei Verbindungswnschen # fest. Die Zeitangabe ist in Sekunden angegeben. # CONNECTRETRY : 5 O # # 'CPN' ist die Rufnummer, die angerufen wird. Vor die Rufnummer wird # der 'DialPrefix' aus 'isdn.cfg' geh„ngt. Sollen mehrere Nummern pro- # biert werden, so kann diese Zeile fr jede Rufnummer angelegt werden. # CPN : 089-0815 O #*CHG* # 'MyNumber' legt fr diese Verbindung fest, mit welcher Rufnummer # (ohne Vorwahl) gerufen wird. # Bei CAPI 1.1 ist hier die EAZ anzugeben. ISDNPM nimmt die letzte Ziffer. # Soll verhindert werden, dass eine Rufnummer mitgeschickt wird, # so muss vor die Rufnummer ein '!' geschrieben werden. # Als Synonym fuer MYNUMBER kann auch MSN verwendet werden. # # Wird MyNumber nicht angegeben dann verwendet ISDNPM die Angaben # MSN/EAZ aus der ISDN.CFG. # # 'MYNUMBER : !4711' # MYNUMBER : 4711 I #*CHG* D # 'OAD' gibt die Absenderrufnummer(n) incl. Vorwahl an, auf die bei # ankommenden Verbindungswnschen reagiert werden soll. # Im Beispiel werden alle Anrufe akzeptiert die mit der # Nummer 7666123456 enden. # OAD : *7666123456 I # D # 'CALLED' gibt die Zielrufnummer/MSN an, auf die bei einem # ankommenden Verbindungswunsch reagiert werden soll. # # CALLED : 123456 O # # mit 'AUTODIALMODE' kann das Verhalten bei automatischem Verbindungs- # aufbau festgelegt werden. # # 0 : w„hle immer # 1 : w„hle bei DNS-Requests (nicht bei WINS) # 2 : w„hle bei TCP-SYNC (ohne Ports 137-139) # 3 : w„hle wie bei 1 und 2 # 4 : w„hle bei PING # 5 : w„hle wie bei 1 und 4 # 6 : w„hle wie bei 2 und 4 # 7 : w„hle wie bei 1 und 2 und 4 # # Alternativ kann der Autodialmode auch mit FLAGS Konfiguriert werden # (PING,DNSREQUEST,TCPCONNECT) statt mit Bitmask AUTODIALMODE : 7 AUTODIALMODE : PING,DNSREQUEST,TCPCONNECT O # I # 'PROFILE' gibt den Verbindungstyp an. 'PPP_SYNC' fr PPP ber ISDN D # und 'PPP_ASYNC' fr PPP ber Modem. Es gibt noch weitere Profiles, # die hier aber nicht weiter beschrieben werden. # PROFILE : PPP_SYNC O # # 'QUERYUID' zeigt auf eine DLL, die fr die Abfrage von 'USERID' und # 'PASSWORD' verwendet werden kann. Es ist eine 'QUID.DLL' vorhanden, # die ber ein Dialogfenster diese Werte erfragt. Die Schnittstelle # fr eine eigene DLL kann vom Autor geliefert werden. # QUERYUID : QUID O # I # 'USERID' ist die Userid, die der Server authentifieren soll. Bei der # Anwahl zu 'T-ONLINE' und zu 'WIN-NT-RAS-Servern' muss man ein bischen # aufpassen. # Die 'USERID' bei T-Online setzt sich wie folgt zusammen : # UserID : xxxxxxxxxxxx#yyyyyyyyy#zzzz@t-online.de # Darin ist codiert: # * xxxxxxxxxx die 12-stellige Anschluákennung # * yyyyyyyyyy die T-Online-Nr. (frueher auch Teilnehmerkennung genannt.) # Falls diese Nummer weniger als 12 Stellen hat, dann muá hier noch ein # Nummernzeichen (#) angefgt werden. # * zum Schluá (zzzz) noch die Mitbenutzerkennung (in der Regel ist das # die 0001, alle anderen sollten aber mittlerweile auch funktionieren..) # # * sollten Sie TDSL (PPP over Ethernet verwenden) so muss # noch '@t-online.de' angeh„ngt werden. Beim normalen ISDN-Anschluss # angegeben schadet diese aber auch nicht. # # An die 'USERID' bei NT-RAS muss evtl. der Name der NT-DOMAIN noch # mit '\' angefgt werden. # USERID : 123456789012#07666123456#0001 O # I # 'PASSWORD' gibt einfach das Passwort an, mit dem Sie sich # authentifizieren. # PASSWORD : 0815 O # I # 'EUSERID' ist die Userid, die der Server authentifizieren soll. # Im Unterschied zur UserID ist diese verschluesselt. # EUserID : 8B3F8FE19FF9B6BBF4C0AC63284F70D438164F97FFAE2D49AA9B3DAA3228FB0B O # I # 'EPASSWORD' gibt in verschluesselter Form das Passwort an, mit dem Sie # sich authentifizieren. # EPASSWORD : 748A1EF56DCB3055B731900E285F65A1 O # I # 'SUSERID' ist die Userid, mit der sich ein Client bei 'ISDNPM' U # authentifizieren muss. # SUSERID : mywi O # I # 'SPASSWORD' ist das Passwort , mit der sich ein Client bei 'ISDNPM' U # authentifizieren muss. # Hinweis: Hinter dem Passwort darf kein Kommentar stehen. # SPASSWORD : geheim O # # ISDNPM sucht einen freien Kanal in der Reihenfolge der installierten # Schnittstellen. Soll diese Verbindung auf einer ganz bestimmten Karte # erfolgen, so kann hier bei 'LINEOUTNAME' eine andere Schnittstelle # angegeben werden. # # Es k”nnen mehrere Angegeben werden, die solange abgeklappert werden bis # eine Schnittstelle gefunden wird die noch freie Connections hat. # Durchs Telefon belegte B-Kanaele koennen nicht erkannt werden. # Wenn man mehrere S0-Busse hat sollte man also dem Anschluss beginnen # der erst als letztes von Telefonen/fax benutzt wird. LineOutName : [PPPOE01] O # I # 'FLAGS' legen zus„tzliche Parameter fr die Verbindung fest. Die meisten D # dieser Flags dienen dem Protokollverhalten. Mit einem '~' vor dem U # Wert, wird das Flag explizit abgeschaltet. Es erlaubt ein im 'DEFAULT.OUT' # gesetztes Flag fr diese Verbindung abzuschalten. Es werden hier ALLE # m”glichen Flags beschrieben. Orientieren Sie sich aber bitte an den # mitgelieferten Beispielen und „ndern Sie nur an Flags, deren Bedeutung # Ihnen auch v”llig klar ist. # Hier werden nur Flags beschrieben, die fr '[OUTGOING]' wichtig sind. # # Die Flags lassen sich in Gruppen einteilen : # O # # Flags, die fr das Verhalten beim Verbindungsaufbau wichtig sind. # # FLAGS : AUTODIAL // w„hle automatisch wenn ein IP-Paket fr // diese Verbindung passt, wenn ein 'TIMEOUT' // konfiguriert ist und wenn kein DIALFILTER // es verhindert. FLAGS : MULTILINK // versuche Kanalbndelung ! O # I # Flags, die fr die Interfacekonfiguration bestimmend sind. # FLAGS : IFCONFIG // Konfiguriere nach dem Zustandekommen einer // Verbindung das Interface neu. Es wird die // REXX-Prozedur aus 'isdn.cfg' dafr benutzt. FLAGS : DEFAULTROUTE // Diese Verbindung ist auch der "DEFAULTROUTE" // ins Internet. FLAGS : DNSREQUEST // erfrage die Nameserver Flags : DORESOLVE // Anweisung fuer das config-Script die // Datei RESOLV/RESOLV2 zu erstellen O # I # Flags, die fr die Authentifizierung wichtig sind. # ISDNPM reagiert als CLient auf PAP oder CHAP oder CHAP-MS. # Will sich ISDNPM aber mit einer bestimmten Methode authentifi- # zieren, so kann eine der 3 M”glichkeiten angegeben werden. # FLAGS : NACK2PAP // ISDNPM m”chte sich mit PAP authentifizieren. FLAGS : NACK2CHAP // ISDNPM m”chte sich mit CHAP authentifizieren. FLAGS : NACK2CHAPMS // ISDNPM m”chte sich mit CHAP authentifizieren. FLAGS : NACK2CHAPMSV2 // ISDNPM will mit MS CHAPV2 authentifizieren. FLAGS : USENT // benutze NT-FLAG bei CHAP-MS Authentifizierung. O # # Flags, die fr die Steuerung von 'CALLBACK' verantwortlich sind. # Diese Flags haben nur dann eine Wirkung, wenn auch der Server # Sie zurckrufen will. Es muss dann auch noch eine entsprechende # '*.IN' Datei vorhanden sein, die den Rckruf auch annimmt. # FLAGS : CALLBACK // normales PPP-CALLBACK wird gefordert FLAGS : CALLBACKMS // PPP-CALLBACK nach Microsoftversion wird // gefordert. FLAGS : CALLBACKCLI // Es wird ein CALLBACK auf Grund der Rufnummer // erwartet O # I # Flags, die fr die Datenkompression wichtig sind. U # Nur bei ganz speziellen Anwendungen ist Kompression vorteilhaft. # Da viele Daten im Netz schon komprimiert sind, kann die # Verwendung sogar hinderlich sein. # FLAGS : LZS // STACK LZS COMPRESSION is used, FLAGS : LZS1 // STACK LZS-1 COMPRESSION is used, FLAGS : LZS1T // STACK LZS-1T COMPRESSION is used, FLAGS : BSD // BSD COMPRESSION is used, FLAGS : PREDICTOR1 // PREDICTOR COMPRESSION is used, FLAGS : PREDICTORCISCO // PREDICTOR CISCO COMPRESSION is used, FLAGS : MPPC // MICROSOFT COMPRESSION is used, // not yet implemented O # I # Flags fr die Verschlsselung U # FLAGS : MPPE128 // 128 Bit Verschluesselung anfordern # O # Flags, die spezielles Protokollverhalten steuern. Die Verwendung I # dieser Flags sollte mit dem Autor abgekl„rt werden. D # FLAGS : MPIDLE // sende IDLE-MULTILINK-PAKETE FLAGS : PASSIVE // PPP IPCP ist im passiven MODE // vorteilhaft bei T-ONLINE und AutoDial FLAGS : LOWPASSIVE // PPP LCP ist im passiven MODE FLAGS : WAITCALLBACK // warte auf rckruf FLAGS : DISCSYM // Trennverhalten bei MULTILINK I # D # Flags, die nur bei der Anwahl (ISDNPM als Server) sinnvoll sind. # FLAGS : DYNAMIC // legt in der *.DYN Datei fest, // dass ber die UID Files authentifiziert // werden soll. FLAGS : PAP // der Einw„hlende MUSS sich mit PAP authentifizieren FLAGS : CHAP // der Einw„hlende MUSS sich mit CHAP authentifizieren FLAGS : CHAPMS // der Einw„hlende MUSS sich mit CHAPMS authentifizieren FLAGS : CHAPMSV2 // der Einw„hlende MUSS sich mit CHAPMSV2 authentifizieren FLAGS : ALLOWCALLBACKMS // der Einw„hlende wird mit MS-CALLBACK gerufen FLAGS : ALLOWCALLBACK // der Einw„hlende wird mit CALLBACK gerufen FLAGS : ALLOWCALLBACKCLI // der Einw„hlende wird nach der Identifizierung // ber die Rufnummer gerufen I # Flag SECUID (Secret userid) im Userfile O # Wenn angegeben wird die Userid nicht im Verbindungslog gelistet # (wichtig fr T-Online) FLAGS : SECUID I # # 'CALLITBACK' gibt an mit welcher Verbindung zurckgerufen werden soll. # CALLITBACK : mywicallback I # # Wartezeit bis zum Callback ( max 200 Sekunden) # CALLBACKDELAY : 8 O # 'IPINTERFACENAME' gibt an, fr welches 'slx' bzw 'lanx' die I # REXX-Prozedur aufgerufen werden soll. U # Default ist das erste verfuegbare IP-Interface, z.B. [IP0] # IPInterfaceName : [LAN0] # # Parameter fr die IP-Konfiguration und fr das Routing. # # 'MYIP' 'YOURIP' 'DEFAULTIP' 'NETMASK' # # Diese Werte werden der REXX-Prozedur fr die Konfiguration # des Interfaces bergeben. (IFCONFIG) # O # I # 'MYIP' ist die IP-Adress des eigenen Interfaces. Wird diese U # Adresse vom Server zugewiesen, kann die Zeile entfallen. # MYIP : 132.230.142.234 O # I # 'YOURIP' ist die IP-Adress des gegenberliegenden Interfaces. U # Wird diese Adresse vom Server zugewiesen, kann die Zeile entfallen. # YOURIP : 132.230.142.217 O # I # 'DEFAULTIP' ist die IP-Adress fr den 'Defaultroute'. # Wird diese Adresse nicht konfiguriert, wird sie wie 'YOURIP' gesetzt. # DEFAULTIP : O # I # 'NETMASK' ist fr die richtige Konfiguration des Routings wichtig. # Ein Wert von "255.255.0.0" hat sich fr den normalen Internetzugang # als praktisch erwiesen. # NETMASK : 255.255.0.0 O # Mit DNS1 und DNS2 koennen Vorgabewerte bei abgehenden Verbindungen # definiert werden wenn die Gegenseite keine Nameserver liefert. # Die Gegenstelle muss die Angaben akzeptieren bzw. best„tigen damit # diese zur Anwendung kommen. # DNS1 : 132.230.200.200 DNS2 : 132.230.200.201 I # U # 'ISDNPM' kann auch fr die Gegenstelle die Parameter fr die # Nameserver liefern. (Auch NBDNS1/2 fr WINS) # # DNS1 : 132.230.200.200 DNS2 : 132.230.200.201 NBDNS1 : 132.230.200.202 NBDNS2 : 132.230.200.203 O # # DNS-Forwarding # # DNS Requests an die konfigurierten IpAdressen werden # auf die vom Provider im PPP konfigurierten DNS1 # respective DNS2 umgesetzt. Damit ist es m”glich unabh„ngig # vom Provider auf allen Rechern im lokalen LAN eine feste # Resolv2 bzw DNS Konfiguration zu verwenden. # Dieser Parameter muá natrlich in alle betroffenen # .out mit den gleichen Werten eingetragen werden. # # Wenn der Provider keine DNS Adresse liefert wird der # Request unge„ndert durchgereicht. Es ist also # durchaus sinnvoll als Adressen real existierende # Nameserver zu verwenden. Wenn man private IP-Adressen # verwendet (192.168.x.y) muá sichergestellt sein, daá # diese IP-Adressen auch auf die entsprechende Verbindung # geroutet werden und nicht etwa mit Filtern oder # z.b. ExRemoteAddress : 192.168.0.0/255.255.0.0 weggeworfen # werden. InternalDNS1 : InternalDNS2 : O # I # Wird 'ISDNPM' nicht fr den Zugang ins Internet verwendet, sondern U # als 'softwarerouter', so sind diese Zeilen wichtig. Sie legen fest, # welche IP-Adressen ber diese Verbindung geschickt werden sollen. # Es handelt sich hier um eine art ROUTINGTABELLE innerhalb des IP- # -Interfaces. # # 'REMOTEADDRESS' legt fest welche Ip-Adressen darber geroutet werden, # 'EXREMOTEADDRESS' klammert davon einige Adressen aus. # # Soll ber diese Verbindung alles ausser der eines Host laufen, so ist # es nach diesem Beispiel zu konfigurieren. # (Mehrfachnangaben sind m”glich sofern sie sich nicht widersprechen) # REMOTEADDRESS : 0.0.0.0/0.0.0.0 EXREMOTEADDRESS : 132.230.142.0/255.255.255.0 O # I # 'ENDPOINT' dient dem Multilink-Protokoll. Hier sollte man D # die eigene Rufnummer (incl. Vorwahl) eintragen. # 'MAXCONNECTIONS' legt die maximale Anzahl der Kan„le bei einer # Multilink-Verbindung fest. # ENDPOINT : 07666123456 MAXCONNECTIONS : 2 O # # 'CALLBACKOPTION' erlaubt fr die Konfiguration des PPP-Protokolls # (nicht bei CALLBACKMS) Parameter festzulegen. (Bitte den Autor # konsultieren). # CALLBACKOPTION : O # # 'AUTORECONNECT' erm”glicht eine automatischen Neuaufbau der Verbindung # wenn sie getrennt wurde. Ist bei ISDN-Festverbindungen und bei # der Nutzung der FLAT-Rate interessant. Der Wert gibt an, nach wieviel # Sekunden eine neue Verbindung versucht wird. # AUTORECONNECT : 5 # # Die Steuerung des automatischen Verbindungsaufbaus bzw. Abbaus ist ein # sehr komplexe Thema. Hier werden grob die dafr wichtigen Parameter # beschrieben. # O # I # 'TIMEOUTRX' legt die Zeit in Empfangsrichtung und 'TIMEOUTTX' legt U # die Zeit in Senderichtung fest. Die Angabe ist in Sekunden. Ist der # 'Timeout' fr beide Richtungen abgelaufen, kann 'ISDNPM' die Verbindung # trennen. # TIMEOUTRX : 100 TIMEOUTTX : 100 O # # TIMEOUTMODE definiert die Synchronisierung mit der Gebhreninformation. # TimeoutMode : Normal // Normales Timeoutverhalten (default) TimeoutMode : Charge // Synchronisierung mit der Gebhreninformation TimeoutMode : WaitFirst // Die Verbindung muá mindestens eine // bestimmte Zeit bestehen bevor sie getrennt wird. // Nach Ablauf der Zeit wie bei normal. // Die Wartezeit stammt aus der Zonetab.ini und // kann damit Tageszeit/wochentag abh„ngig bestimmt // werden. // Wg. Tarifmodell der Britisch Telekom // bzw. beim Mobilfunk mit 60/1 Abrechnung O # # Ist der TimeOutMode 'Charge' gesetzt , wird das Trennen der Verbindung # mit der Gebhreninformation synchronisiert. 'CHARGEREMAIN' legt fest, # wieviele Sekunden vor dem Gebhrenimpuls getrennt werden soll. # CHARGEREMAIN : 5 O # # Da 'ISDNPM' erst den ersten Impuls abwarten muss, bevor es weiss # wie lange eine Gebhreneinheit dauert, wird diese Info aus 'ZONETAB.INI' # gelesen. 'TIMEZONE' gibt an, welche Zeilen aus diesem File fr die # den Anfangswert benutzt werden soll. # im Beispiel die Zeile 1 fr Montag bis Freitag, Zeile 5 fr Samstag # Zeile 5 fr Sonntag. Feiertage etc werden nicht unterschieden. # TIMEZONE : 1,5,5 # O # Konfigurierbares PAP-Timeout/Retry Verhalten # # Bisher war es 5 Sekunden und 2 mal, das gab dem Server # maximal 15 Sekunden Zeit zu Antworten. Insbesondere bei # T-Online hat das in letzter Zeit gelegentlich nicht ausgereicht. PAPTimeout : n // Anzahl Sekunden die auf eine PAP Antwort // gewartet wird PAPMaxRetry : n // Wie oft der PAP-Befehl wiederholt wird #*NEU* O # PPP KeepAlive's senden I # D # Alle n sekunden wird ein PPP KeepAlive gesendet # Minimalwert ist 5 Sekunden, 0 (Vorgabewert) schaltet das Feature # ab. # # KeepAlive-Pakete sind notwendig um Verbindungsabbrche festzustellen. # Beim PPPoE Protokoll kmmert sich der Server darum, ISDNPM braucht also # nur zu antworten und erwartet regelm„áige KeepAlive-Echorequests # bevor es von einem Verbindungsabbruch ausgeht. # # Der PPtP-Tunnel kennt kein automatisches KeepAlive und somit muss # diese Option beim PPtP-Tunnel konfiguriert werden. # # Hinweis: Der KeepAlive hat keinen Einfluss auf den Timeout. # KeepAlive : #*NEU* O # PPP KeepAlive Disconnect Zaehler I # D # Anzahl der aufeinanderfolgenden KeepAlive-Echorequests die unbeantwortet # bleiben drfen. Wird die Zahl berschritten geht ISDNPM davon aus das # die Verbindung getrennt wurde. # KeepAliveDisc : # # Automatisches ZU und WEG-schalten von zusaetzlichen Verbindungen # bei MULTILINK # O # # 'HighWater' definiert, wann eine Verbindung zugeschaltet werden soll. # Beispiel : Ist ueber einen Zeitraum von 10 Sek. die Uebertragungs- # geschwindigkeit in Receive-Richtung groesser als 7000 Bytes / Sekunde # ODER in Transmit-Richtung groesser als 6000 Bytes / Sekunde , so schalte # einen weiteren Kanal zu. Der Mindestabstand zwischen zwei Versuchen # soll 20 Sekunden sein ! # HIGHWATER : 10,7000,6000,20 O # # 'LowWater' definiert, wann eine Verbindung weggeschaltet werden soll. # Beispiel : Ist ueber einen Zeitraum von 30 Sek. die Uebertragungs- # geschwindigkeit in Receive-Richtung kleiner als 1000 Bytes / Sekunde # UND in Transmit-Richtung kleiner als 500 Bytes / Sekunde , so schalte # den Kanal weg. Die Mindestdauer einer Verbindung soll 20 Sekunden sein ! # LOWWATER : 30,1000,500,20 # Bemerkung zu HIGH und LOWWATER : # M”chte man nur manuelle Kontrolle ber das Multilink definiert man # bei Highwater eine Datenrate weit h”her als die maximale # m”gliche (>8000) und bei Lowwater eine Datenrate von 0 # O # I # 'MASQUERMODE' bezeichnet ob Sie 'NAT' bzw. 'Masquerading' betreiben U # wollen. # # '0' bedeutet , das das 'Masquerading' AUSgeschaltet ist. # '2' bedeutet , das das 'Masquerading' EINgeschaltet ist. # andere Werte sollten nicht verwendet werden. # MASQUERMODE : 0 O # I # 'MASQUERBASE' bezeichnet , mit welchem Basisport das Masquerading U # arbeitet. Standardwert ist 32000. # MASQUERBASE : 32000 O # I # 'MASQUERPORTS' definiert die Anzahl Ports fuer das Masquerading die # beginnend mit dem definierten Basisport vergeben werden. U # Standardwert ist 4000. Die Portrange ist somit 32000 - 35999. # MASQUERPORTS : 4000 # O # Optionale Parameter zur Steuerung der Alterung von Masquerading-Ports. I # Bei den angegebenen Werten (in Sekunden) handelt es sich um die U # Defaultwerte die im Normalfall ausreichend sind. # Eine Definition dieser Optionen in der User.OUT sollte nur im # Ausnahmefall erfolgen! # # UDPConnTimeout : 900 # TCPConnTimeout : 900 # FTPConnTimeout : 2700 # ICMPTimeout : 40 # DNSTimeout : 60 # TCPSYNTimeout : 60 # TCPFinTimeout : 60 # O #*CHG* I # 'MASQUERENTRY' erlaubt Zugriffe auf locale Services von aussen U # trotz Masquerading. Diese Services k”nnen # auf jedem beliebigen Rechner des lokalen LAN's laufen, auáerdem kann man # den Zugriff auf eine bestimmte Quell IP einschr„nken. Letzteres bietet # zus„tzliche Sicherheit falls man das Feature fr z.B. einen # Wartungzugang von aussen benutzen m”chte, oder den heimischen PC nur # vom Firmenrechner (Kinderzimmercam :-) ) # # Der Eintrag hat 8 Parameter von denen die ersten 5 Pflicht sind: # SourceIP 0.0.0.0 = Zugriff fr alle # SourcePort 0 = Zugriff fr alle Programme # Incoming DestinationPort bzw. Portrange # LocalIP ZielIP im lokalem LAN # LocalPort ZielPort im lokalem LAN, erster Port bei # Angabe einer Dest.-Portrange # # Protokoll optional, 6 (TCP) od. 17 (UDP), 6 = Default # MaxCon optional, maximale Anzahl gleichzeitiger # Verbindungen # Reply-Option optional # # MasquerEntry : ,, # [-], # ,, # ,, # # (alles in einer Zeile natrlich) # # Normalerweise sind DestinationPort und LocalPort gleich. # # Es sind maximal 32 Eintr„ge m”glich. Fr DestinationPort drfen keine # Portnummern aus dem Masqueradingrange verwendet werden (in der default # Einstellung sind dies die Ports 32000 bis 35999) # # Freigabe eines auf dem lokalen Rechner laufenden WebServer fr alle MasquerEntry : 0.0.0.0,0,80,127.0.0.1,80 # Freigabe eines auf dem lokalen Rechner laufenden FTPServer fr alle MasquerEntry : 0.0.0.0,0,20,127.0.0.1,20 MasquerEntry : 0.0.0.0,0,21,127.0.0.1,21 # Freigabe der AXIS Webcam fr den Arbeitsplatzrechner unter Port 8080 MasquerEntry : 132.230.1.1,0,8080,10.0.4.5,80 # Freigabe fuer Port 113 = Authentication Service MasquerEntry : 0.0.0.0,0,113,127.0.0.1,113 # Freigabe einer Portrange: # TCP-Connections auf die Ports 7000-7020 werden in diesem Beispiel auf # 127.0.0.1:8000-8020 geforwarded (bei den meisten Anwendungen steht # hinten auch 7000, ich habe nur 8000 genommen um besser zu verdeutlichen # wie es funktioniert) MasquerEntry : 0.0.0.0,0,7000-7020,127.0.0.1,8000 # Mit Angabe des Protokoll das geforwarded werden soll MasquerEntry : 0.0.0.0,0,80,127.0.0.1,80,6 // TCP Connections MasquerEntry : 0.0.0.0,0,53,127.0.0.1,53,17 // UDP Connections # Es sind derzeit nur die Protokolle 6 (TCP) und 17 (UDP) zulaessig. # Keine Angabe entspricht TCP. # Man kann die Zahl der gleichzeitig aktiven Verbindungen begrenzen. MasquerEntry : 0.0.0.0,0,80,127.0.0.1,80,6,1000 # Die Zahl der gleichzeitig offenen Verbindungen auf den Webserver auf 1000 # begrenzen. (Achtung: das ist nicht die Zahl der User. Normalerweise macht # ein Browser mehrere Vebindungen gleichzeitig auf, um Bilder parallel # herunterladen zu k”nnen.) # # Diese Begrenzung wurde n”tig, da bei der neuen Masqueradingimplementation # auch Connections von aussen in die normale Masquertabelle bertragen # werden. Mit einem TCP-SYN Flood von aussen ist damit eine DOS-Attacke auf # das Masquerading m”glich. Bei der alten Implementation ist der TCP-SYN # Flood natrlich auf den TCPIP Stack und ins locale LAN durchgereicht # worden und kann dort den z.B. den Webserver direkt lahmlegen. # # Ein Lahmlegen des Zugriffs von aussen ist damit natrlich immer noch # m”glich, aber die Attacke legt nur den einen Zielport lahm (und nicht den # ganzen Zielrechner) und behindert auch nicht den Betrieb von innen nach # aussen. # # Man kann das Verhalten bei Connections auf nicht geforwardete Port # konfigurieren. MasquerEntry : 0.0.0.0,0,113,127.0.0.1,113,6,0, # fr reply-option kann stehen : # # IGNORE : Der Verbindungsversuch wird ignoriert genau wie # wenn der Eintrag nicht da w„re. Es gibt nur einen kleinen # Unterschied, denn die damit gemachten Eintr„ge erscheinen # nicht im Masquerading-Logbuch fuer NATINDENY. # (Hilft auch bei der Dokumentation) # # FORWARD : Der Verbindungversuch wird auf das Ziel geforwarded # (genauer: Ein Eintrag in der dynamischen Masquertabelle # wird erzeugt) (das ist default) # # TCPReject : Die TCP Verbindung wird auf die gleiche Weise wie vom # TCP-Stack abgelehnt (Protokol muá 6 sein) # # ICMPReject : Die Verbindung wird ICMP Port unreachable abgelehnt. # # Beispiele: # # a. EMail-Einlieferung bei manchen SMTP Servern beschleunigen: MasquerEntry : 0.0.0.0,0,113,127.0.0.1,113,6,0,TCPReject # b. OS/2 Tracerte von aussen erm”glichen (nur bis zum ISDN Rechner) MasquerEntry : 0.0.0.0,0,33435-33600,127.0.0.1,33435,17,0,ICMPReject # Ports fuer Desktop on Call MasquerEntry : 0.0.0.0,0,8089,127.0.0.1,8089 MasquerEntry : 0.0.0.0,0,25345-25351,127.0.0.1,25345 O # I # 'MASQUERLOGLEVEL' bestimmt was in den Masquer/Nat logfile U # protokolliert wird # # Optionen : NATINDENY : Abgelehnte TCP-Connections und UDP-Packete von # aussen # NATINACCEPT: šber MasquerEntry geforwardete TCP-Cons und # UDP-Packete # NATOUT : Abgehende verbindungen # # Mehrere Parameter durch Komma getrennt oder in getrennten Zeilen angeben. # MASQUERLOGLEVEL : NATINDENY # O # FTPPort I # Mit FTPort lassen sich bis zu 8 zus„tzliche ControlPorts U # definieren auf denen nach FTP Commandos mitgelauscht wird, # und manipuliert wird (zus„tzlich zu Port 21) # # Streng genommen sind diese Server natrlich nicht RFC # Konform und der Alptraum eines gewissenhaften Firewall-Administrators! FTPPort : 666 # O # MasquerOption : LOOSEFTPPORT I # MasquerOption : LOOSEFTPIP U # # Defaultm„áig ist ISDNPM 3.0 streng was akzeptable Daten- # verbindungen von FTP Servern betrifft. # Zugelassen hat es nur Datenverbindungen von der gleichen # IP-Adresse wie die Controlconnection und von Port 20. # Mit diesen beiden Optionen l„át sich das abschalten. # # ACHTUNG, insbesondere mit LOOSEFTPIP sind Scenarien denkbar # daá man beim Download eine falsche Datei bekommt. MasquerOption : LOOSEFTPPORT MasquerOption : LOOSEFTPIP # O # MASQUEROPTION EchoReply I # U # IsdnPM antwortet auf Pings wenn diese Option eingeschaltet ist. # # Warnungen: # # 1. Viele Hacker/Portscanner benutzen den Ping um zu # berprfen ob eine IP-Adresse aktiv ist bevor sie zur Tat # schreiten. Da sich das Timeout-Verhalten des Ping besser # kontrollieren l„át k”nnen sie auf diese Weise mehr IP-Adressen in der # gleichen Zeit absuchen, als wenn sie den Portscan blind starten. # # 2. Man wird dadurch anf„llig fr Pingfloods, bei assymetrischen # Verbindungen wie T-DSL ist das besonders kritisch da ber den Downlink # viel mehr Pings ankommen k”nnen als ber den UPLink # beantwortet werden(6 mal mehr, bei T-DSL) # # Wichtiger Hinweis: # IsdnPM beantwortet den Ping selbst, d.h. erfolgreiches # Anpingen von aussen bedeutet nicht daá alles # (insbesondere das Routing) richtig konfiguriert ist. # Eine Internetverbindung (zw. Provider und ISDNPM) muá natrlich # bestehen und auch funktioneren. Das dahinterliegende TCP/IP laesst # sich auf diesem Wege nicht pruefen. MasquerOption: EchoReply O # I # 'MSS' = Max Segement Size. (Nur notwendig bei T-DSL) U # Bei einem Wert > 0 (max 1460) wird bei Masquerading die MSS Option # in TCP SYN Packets manipuliert. Mit dieser Option handeln Client # und Server die maximale Nutzlast in einem Datenpacket aus. # Bei T-DSL ist aber die Maximale Packetgr”áe kleiner als im normalen # Ethernet und andere Rechner im lokalen Netz nichts davon wissen # werden zu groáe Packete verschickt. Der Telekom T-DSL Einwahlrouter # wirft aber zu groáe Packete, die aus dem Internet kommen einfach weg # statt sie zu fragmentieren :-( # Das Maximum der MSS liegt bei MTU - 40 Bytes. # Ein sinnvoller Wert bei T-DSL ist 1420. # Standardwert ist 0, d.h. keine Manipulation # MSS : 0 O # Optionales Script fr den Verbindungsaufbau. # Der Name des Scripts wird in der Verbindungskonfiguration (*.OUT) # definiert. # Das DIALSCRIPT wird *vor* dem Verbindungsaufbau ausgefuehrt. # Damit kann z.B. vor dem Aufbau des PPTP-Tunnel die dazugehoerige # Internet-Verbindung aktiviert werden. DialScript : DIAL1.FNC O # Optionales Script das beim TIMEOUT einer Verbindung aufgerufen # werden kann. # Der Name des Scripts wird in der Verbindungskonfiguration (*.OUT) # definiert. # # Das DiscScript wird aktiviert wenn ISDNPM die Verbindung # wegen _Timeout_ beenden will oder das auflegen ber die GUI # bzw. per Remote-Interface per Verbindungsnamen aktiviert wird. # # ISDNPM wartet mit dem eigentlichen auflegen bis zur Beendigung # des Scripts. Aufgelegt wird dann ohne Bedingung. # ACHTUNG: Hat das Script einen Fehler und beendet sich nicht dann legt # ISDNPM nie mehr auf. DiscScript : DISC1.FNC O # I # šber Filter lassen sich sowohl das Verhalten von AUTODIAL und U # der Transport von IP-Paketen steuern. # Eine Filterangabe besteht aus der Angabe des Filterfiles und # des Namens des Filters. # Der Aufbau von Filterdateien wird in einem extra Kapitel beschrieben. # # # Hinweis: Wenn Sie einen Dialfilter definieren, dann ist dieser nur # aktiv wenn keine Einschraenkung beim AutoDialMode gesetzt ist. DIALFILTER : f1.cfg,DIALFILTER1 TIMEOUTFILTERIN : f1.cfg,TIMEOUTFILTERIN TIMEOUTFILTEROUT : f1.cfg,TIMEOUTFILTEROUT INCOMINGFILTER : f1.cfg,INCOMING1 OUTGOINGFILTER : f1.cfg,OUTGOING1 O # I # 'DEBUGLEVEL' erlaubt Ihnen, den DEBUGLEVEL aus isdn.cfg um entsprechende D # Information fr diese Verbindung zu erweitern. (fr Fehlersuche) U # DEBUGLEVEL : IPDETAIL O # I # 'ACCOUNTING' dient dazu detaillierte Abrechnungsinformation fr diese D # Verbindung zu sammeln. U # # Accounting : 0 // Kein Accounting # Accounting : 1 // aufgeschlsselt nur nach IP-Addresse und # // Protokoll # Accounting : 2 // wie 1 plus externer port # Accounting : 3 // wie 1 plus localer port # Accounting : 4 // alles # Fr den normalen Gebrauch ist 1 oder 2 sinnvoll, # 3 ist eventuell sinnvoll wenn man Zugriff auf lokale Dienste von aussen # erlaubt. 4 ist das detaillierteste Protokoll, produziert aber eine # Riesendatei. ACCOUNTING : 1 O # # 'SCRIPT' gibt die REXX-Prozedur an , die fr einen Dialog vor dem # Datenaustausch gestartet werden soll. # SCRIPT : dialog.cmd O # # 'SCRIPTIN8BIT' und 'SCRIPTOUTPARITY' steuern das Parityverhalten # in der Dialogprozedur. # SCRIPTIN8BIT : 0 SCRIPTOUTPARITY : SPACE // SPACE,EVEN,ODD # # ---------------- ENDE --------------------------- #