17.09.2002, Orest Leier (orlet (at) web.de)
Dieses HowTo soll nur beschreiben,
wie man einen funktionierenden Router mit funktionierender
Einwahlfunktion über ISDN um ein Call-Back
erweitert, wenn der Client auf Windows läuft.
Also ganz einfach um sich per ISDN auf einer fli4l-Kiste
für Wartungsarbeiten einzuwählen, dabei aber den Nutzer
der Routers zahlen zu lassen.
Mit den Bordmitteln von Windows ist ein Zugriff auf
das hinter dem Router liegende LAN oder das angeschlossene
Internet nicht möglich. Mittels Shareware kann auch dieses realisiert
werden (Vielen Dank an Christian Klein)
Fli4L = Dial-In-Server
= Call-Back-Client,
im folgenden SERVER genannt.
Windows-PC
= Dial-In-Client
= Call-Back-Server,
im folgenden CLIENT genannt.
Am besten Ihr kopiert
erstmal den funktionierenden Dial-In-Circuit, ändert
die laufende Nummer und passt die ISDN_CIRCUITS_N='x'
an. Das hat den Vorteil, dass Euch für den Notfall immer noch ein zweiter Wartungs-Circuit zur Verfügung steht, sollte das mit dem Call-Back nicht auf Anhieb klappen. Auch habt Ihr dann schon
eine Reihe von Problemen gelöst, die nichts mit dem Call-Back,
sondern mit dem Dial-In zu tun haben.
Das größte Problem
besteht darin, dass LINUX ein anderes Prozedere beim
Call-Back verwendet als Microsoft. MS würde den Anruf annehmen,
den Benutzernamen und dass Kennwort prüfen, dann auflegen und zurückrufen (evtl.
sogar auf einer vom Client festgelegten Nummer). Fli4L nimmt den Anruf gar nicht
erst an, sondern prüft einfach nur die anrufende Telefonnummer und ruft daraufhin
eine fest eingestellte Rufnummer zurück.
Obwohl eigentlich
schon alles in der OPT_ISDN_Doku steht, hier noch
mal die wichtigsten Einstellungen:
#------------------------------------------------------------------------------
# Circuit 4: Call Back zu Rufnummer (0123)456790 bei Anruf von (0123)456789
auf MSN 987654
#------------------------------------------------------------------------------
ISDN_CIRC_4_NAME='Call-Back' #
circuit name, e.g. 'Firma'
ISDN_CIRC_4_LOCAL='192.168.12.254'
ISDN_CIRC_4_REMOTE='192.168.12.251'
ISDN_CIRC_4_NETMASK='255.255.255.0'
Diese Werte trotzdem eingeben, wir weisen den CLIENT später an, die IP vom einwählenden Fli4L zu akzeptieren. Vorsichtshalber sollte
die IP von Fli4L (Local) höher ausfallen als die des
CLIENT.
ISDN_CIRC_4_USER=’user’
ISDN_CIRC_4_PASS=’passwort’
Hier müssen User-Name und Passwort rein, mit denen sich Fli4L anschließend auf
Eurer Windows-Maschine anmeldet. Dies müssen ein auf WinXP
angelegter Benutzer und dessen Passwort sein. Verwechselt dies bitte nicht mit
dem User, welcher den Rückruf initiiert. Beachtet hierzu auch die Hinweise zur
Client-Konfiguration.
ISDN_CIRC_4_DIALOUT='0123456790'
Diese Rufnummer wird von Fli4L gewählt, sobald ein Daten-Anruf auf der mit ISDN_CIRC_4_EAZ
festgelegten Rufnummer erfolgt.
ISDN_CIRC_4_DIALIN='3712824189'
Fli4L ruft nur zurück, wenn der initiierende Call
von dieser Rufnummer kommt. Beachtet, dass DIALOUT und DIALIN nicht zwangsweise
übereinstimmen müssen.
ISDN_CIRC_4_CALLBACK='in' # logisch auf in, siehe ISDN-Doku
ISDN_CIRC_4_CBDELAY='5' # siehe
ISDN-Doku
ISDN_CIRC_4_EAZ='987654'
Fli4L ruft nur zurück, wenn der initiierende Call
auf dieser MSN reinkommt. (Diese MSN muss der Client
wählen).
ISDN_CIRC_4_TIMES='Mo-Su:00-24:0:N'
N: Damit hier nicht bei normalem Routerbetrieb rausgewählt wird.
Nun zur Konfiguration des Client. Ich habe es nur mit
WinXP getestet, andere MS-Systeme sollten sich analog
verhalten.
Als erstes benötigt Ihr eine Verbindung, welche ankommende
Rufe annimmt:
-> Assistent starten
-> erweiterte Verbindung
-> eingehende Verbindung
-> welches Capi-Port-Modem/ welcher Miniport
-> VPN nicht zulassen
-> welcher Benutzer (und damit Passwort)
dies sind die Daten unter ISDN_CIRC_4_USER='user'
ISDN_CIRC_4_PASS='passwort'
-> Protokolle und sonstige Netzwerkeinstellungen
-> fertig
Beachtet: Der von Euch gewählte Benutzer muss über ein
Passwort verfügen! Diese Kombination bestimmt, welche Rechte Fli4L auf Eurer
Windows-Maschine bekommt, also möglichst gar keine (Vollzugriff auf alle Laufwerke
verweigern; keine Benutzergruppe)! Verwechselt dies bitte nicht mit dem USER,
welcher den Call-Back bei Fli4L initiiert. Dieser
kann die Verbindung einfach mit benutzen.
***** SICHERHEITSBEDENKEN *****
Achtung: WinXP
nimmt überhaupt keine Prüfung der anrufenden Telefonnummer vor. Jeder, der Eure
Telefonnummer kennt, kann sich also schon mal einwählen und sich an Name und
Passwort versuchen. Evtl. könnt Ihr wenigstens einschränken, welche MSN er dafür
zwingend wählen muss, dann muss diese mit ISDN_CIRC_4_DIALOUT='0123456790' übereinstimmen.
Wie dass zumindest bei den weit verbreiteten AVM-Karten funktioniert, findet Ihr am Ende. Für Benutzername
und Kennwort wählt möglichst kryptische Bezeichnungen
und Passwörter, Ihr müsst Sie Euch ja nicht merken, sondern nur in die ISDN.TXT
eintragen. Weitere Sicherheit erlangt Ihr, wenn Ihr standardmäßig in den Eigenschaften
der eingehenden Verbindung alle Geräte deaktiviert und nur bei tatsächlichem
Bedarf das entsprechende Gerät zulasst.
***** \SICHERHEITSBEDENKEN *****
Zum Schluss
passt Ihr über die Eigenschaften dieser Verbindung, Reiter 'Netzwerk', noch
die Eigenschaften für das TCP/IP-Protokoll an.
Zugriff auf Netzwerk raus, IP-Range fest eingeben,
sodass die beiden IP's aus der ISDN.TXT abgedeckt
sind. Anschließend noch den Haken setzen bei 'Computer die Angabe der eigenen
IP gestatten'. Beachtet dass der XP-Client die
erste verfügbare Adresse aus der IP-Range erhält.
Seine IP sollte also kleiner als die des Routers
sein! Hier liegt auch der Knackpunkt für den Zugriff auf das hinter Fli4L
liegende Netzwerk. Das funktioniert nicht, da Windows für diese eingehende
Verbindung kein Gateway, kein DNS und kein WINS
verwaltet. Dies könnt Ihr nur über Shareware erreichen (siehe unten).
Nun braucht
Ihr noch eine ausgehende Verbindung auf die mit ISDN_CIRC_4_EAZ='987654'
festgelegte Rufnummer. Die dabei verwendete MSN muss mit ISDN_CIRC_4_DIALIN='3712824189'
übereinstimmen. Ratsam ist, die Anzahl der Wahlwiederholungen auf 0 zu setzen.
Bei Problemen
versucht Euch erstmal selber anzuwählen, so bekommt Ihr raus, ob Eure eingehende
Verbindung richtig funktioniert. Auch ein Blick auf die Aktivitäten des
S0-Busses klärt so manches Problem (AVM-ISDN-Watch).
So, wenn ich alles richtig aufgeschrieben, und Ihr alles
richtig gelesen und beherzigt habt, müsste 'Wählen
der ausgehenden Verbindung' à mit einem Fehler abbrechen. Das ist normal. Wenn nicht
bereits geschehen ;-) taucht kurze Zeit später eine Netzwerkverbindung in
der Tray auf. Spätestens jetzt kann man die Einwahlversuche
abbrechen und den Router mit seiner IP-Adresse (ISDN_CIRC_4_LOCAL='….') ansprechen (IMONC
mit Schalter /s:Router-IP verwenden)
Bei Fragen zur HowTo
oder irgendwelchen Anmerkungen, bitte eine Email an mich: Orest Leier.
Christian Klein war so freundlich,
mich auf eine Shareware hinzuweisen, welche Windows auch das LINUX-eigene Call-Back-Verfahren
beibringt. Unter http://home.t-online.de/home/hanewin/capri-d.htm
findet Ihr das passende Programm.
Ein weiterer Sicherheitsgewinn besteht darin, Anrufe nicht auf allen Rufnummern des ISDN-Anschlusses anzunehmen. Bei den virtuellen Capi-Modems erfolgt dies über AT-Kommandos (weiteres hier). Für die NDIS-WAN-LINES geht Ihr Start- Systemsteuerung- System- Hardware- Hardwaremanager- Eigenschaften der AVM-Karte- Register ISDN- Konfigurieren. Im folgenden Dialogfeld die gewünschte MSN ZWEIMAL eintragen, je NDIS-WAN-Line einmal. Diese MSN wird sowohl für abgehende als auch für ankommende Anrufe verwendet.
Bei Fragen zur Howto oder irgendwelchen Anmerkungen, bitte eine Email an mich: Orest Leier
Klicken Sie hier, um die Seite auszudrucken.