TwoCom Online-Forum

[Schritttmacher]

Hallo,
Firmware2.3 ich möchte zu Nat auch noch die Firewall aktivieren. Alla König hat mir aber nicht weitergeholfen. Ich blocke alle "out und in Verbindungen" und es geht trozdem noch alles. Ich benutzte sonst Norton Pers.Firewall 2002, wie gehe ich mit der jetzt um? (deinstallieren oder auch weiterhin nutzen)?
Ich hab an dem Router außer den Zugangsdaten nix verstellt. Außer die 2 Proberegeln mit in und out _ block all.

Danke
Schritttmacher

[defence]

Das Filterset funktioniert. Du musst irgendetwas falsch eingestellt haben (wahrscheinlich ist die Verweisung auf die Block-Regeln unterbrochen). Bitte folgendes prüfen:
Unter IP Filter/Firewall Setup -> General Setup prüfen, ob die Call- und Data-Filter enabled sind - nachprüfen, welches das Start Filter Set bei den Data-Filtern ist - dieses aufrufen - nachsehen, was als Next Filter Set eingetragen ist - dieses aufrufen usw. usw.. Wenn nicht lückenlos auf das Filter Set verwiesen wird, in dem die Block-Regeln stehen, werden diese auch nicht angesprungen. Die Kette kann außerdem auch durchbrochen werden, wenn bei einer Filter-Regel unter 'Branch to Other Filter Set' etwas anderes als 'None' steht.

Grüsse

[Schritttmacher]

hi defence,
1. default call filter = block netbios, 2. default data filter = xNetbios =>DNS das war orig. so eingestellt. Beide Regeln verweisen ins leere. Ich hab an der Grundkonfiguration nur die Regel block (in and out) all im letzten Set eingetragen, und wollte dann einzelne Regeln erlauben. Sind diese beiden ausschlaggebend dafür verantwortlich auf nachfolgende Regeln zu verweisen. Durchläuft die Firewall nicht ein Regelset nach dem anderen? Muss ich jede Regel mit der nächsten verbinden? Mit welcher Regel fängt man da aber an?
Schritttmacher

[defence]

Die Call-Filter beginnen an der Stelle, die im Web-Interface des Routers unter IP Filter/Firewall Setup->General Setup->Call Filter->Start Filter Set eingestellt werden; die Data-Filter starten an der Stelle, die im Web-Interface des Routers unter IP Filter/Firewall Setup->General Setup->Data Filter->Start Filter Set eingestellt werden.
Im Grunde ist es ganz simpel: Wenn keine Verbindung besteht, startet der Router seine Prüfung bei den Regeln, die als erste Call-Filterset-Regeln angegeben wurden; besteht eine Verbindung startet er seine Prüfung bei den Regeln, die als erste Data-Filterset-Regeln festgesetzt sind.
Es muss nicht auf alle Regeln verwiesen werden, die Kette darf nur nicht abbrechen. Der Router arbeitet nicht (!) alle Regeln automatisch ab. Wenn Du die Data-Filter in Set 2 definierst, sonst kein weiteres Regel-Set belegst und die Block-Regeln in Set 12 eingibst, dann musst Du von Set 2 auf Set 12 verweisen (Im Filter Set 2 eingeben: Next Filter: Set#12). Das kann Dich natürlich irgendwann in den Wahnsinn treiben, denn wenn Du einmal vergessen hast, dass Du diese direkte Verweisung von Set 2 auf Set 12 programmiert hast und belegst dann die Regel-Sets 3 bis 11 mit Erlaubnisregeln und es funktioniert gar nichts, dann darfst Du Dich eben nicht wundern: Die Sets 3 bis 11 kommen durch die Verweisung nicht zum Zuge !)

Grüsse

[Schritttmacher]

jetzt geht zumindest mal die Firewall. Ich hatte die Verknüpfungen der Sets, mit dennen der einzelnen Regeln verrafft. Zudem bin ich mit den <=> ein wenig durcheinander geraten. Da muss man höllisch aufpassen. Aber nachdem alles ging und ich den Router vom Netz nahm, verweigerte er beim Neustart die Anwahl in s Internet. Ich musste über die Konfigurationsmake "Online Status" eine manuelle Verbindung aufbauen.
Von da an klappt es wieder.

Schritttmacher

[defence]

Über die Ursache dieses Verhaltens kann ich jetzt wirklich nur noch spekulieren: Es könnte sein, dass der Router die Adresse eines DNS-Servers im Cache behalten hat und diese Adresse nunmehr (nachdem Deine Firewall erstmals funktioniert) nicht mehr benutzen darf, so dass er die Domain-Namen nicht mehr auflösen kann. Wenn es bei Dir ja jetzt funktioniert, kannst Du doch die Einstellung beibehalten. Wenn es nicht klappt, würde ich einmal versuchen, den Router für eine Minute vom Stromnetz zu trennen und es dann wieder probieren. Kommt auch dann keine Verbindung zustande, stimmt mit den Pass-Regeln etwas nicht. Ich würde dann probeweise die DNS-Regel ändern (Port 53, UDP-Protokoll, ausgehend auf alle Adressen freigeben) und die http-Regel (Port 80, TCP-Protokoll, ausgehend auf alle Adressen freigeben). Jetzt müssen sich 'normale' Web-Seiten -jedenfalls ab Firmware 2.1a- aufrufen lassen, vorausgesetzt dass sich kein anderes Programm (z.B. ein Proxy) in den Netzverkehr einmischt.

Grüsse

[Schritttmacher]

hi defence,
ich habe im Rule-Set 2 DNS Server eingetragen. 1. t-onl. Qelle=any, Ziel=212.185.248.212, StartPort=53 UDP/Raus 2. Schlund Qelle=any, Ziel=172.19.1.4, StartPort=53 UDP/Raus. Sonst hab ich im Router Setup kein DNS definiert. Nachdem ich den Router vom Strom (220V) trenne, klappt eine Wiedereinwahl nur manuell. Bleibt der Router allerdings an, besteht das Problem nicht. Die Clients haben als DNS den Router eingetragen. Die Firewall klappt meines Wissens auch soweit. Alles 1:1 übernommen...
Schritttmacher

[defence]

Aha,

bei meinem t-online-Anschluss würde eine solche Einstellung nicht funktionieren, weil t-online eben nicht nur auf ihren Seiten ankündigt, die DNS-Server zu wechseln, sondern das tatsächlich auch macht ! Deshalb nochmals: Stelle doch zumindest einmal probeweise die erste Deiner beschriebenen Regeln um, indem Du statt 'Ziel=212.185.248.212' eingibst: Ziel=any. Danach kannst Du ja immer noch suchen, welche Adressen t-online tatsächlich für die DNS-Server verwendet.

Grüsse

[kdd]

Hi,
und damit es jeder weiss:
Jeder öffentlich zugängliche Internet Provider ist verpflichtet, sofern er ein eigenes Netz betreibt die IP Adressen seines® DNS Server zu veröffentlichen.
T-Online hat eine ganze Menge Server, die regional unterschiedlich sind. Es gibt allerdings einen und der ist weltweit verfügbar und hat die Adresse :

194.25.2.129 - DNS-Server für Namensauflösung

Diese IP Adresse ist seit ungefähr 8 Jahren stabil. Der Nachteil ist, weil diese IP natürlich von der Zentrale auf die DNS Server Farm per Lastverteilungsschlüssel verteilt wird eine etwas längere Antwortzeit, als die, von den bei der Einwahl von T-Online regionalen DNS Adressen.

[defence]

Hallo,

ich habe t-online schon vor über einem halben Jahr per eMail gebeten, doch die Adressen der DNS-Server zu veröffentlichen und auch ausdrücklich darauf hingewiesen, dass dies aus Sicherheitsgründen wegen der Einstellung der Firewalls wichtig wäre. Ich habe nicht einmal eine Anwort bekommen.

Wenn man bei der DNS-Regel für die Firewall nur eine Adresse einträgt, kann das nach meiner Auffassung bei t-online zu Problemen führen. Wenn ich richtig informiert bin, überträgt der Provider beim Verbindungsaufbau die Adresse des DNS-Servers. Bei meinem Anschluss über t-online wechselt diese Adresse gelegentlich. Wenn dann die aktuell übertragene Adresse nicht mit der Adresse in der Firewall übereinstimmt, blockt der Router, es sei denn, ich habe im Router-Menu 'Basic Setup -> Ethernet TCP/IP and DHCP Setup' unter 'DNS Server IP Address' auch dieselbe Adresse wie in der Firewall eingetragen, was dann zu den von Dir geschilderten Geschwindigkeitsverlusten führen kann.

Grüsse

[kdd]

Hi,
Für T-Online Kunden gibt's ne Newsgroup, auf die nicht alle Zugriff haben. Daher hier per copy paste, auch wenn da mal 'n Name vom Provider drin steht; Werbung solls nicht sein, der Text ist auch für Nicht IT Profis ganz interessant; hier kommt die Kopie:


Änderung: Serverliste erweitert

Liebe Teilnehmer und Kunden von T-Online,

so manchem von Ihnen ist bereits aufgefallen, das in verschiedenen
Programmen die eigentlichen Namen unserer Server auftauchen, als da z.B.
wären: "fwd05.sul.t-online.de", "news02.btx.dtag.de" oder
"mailin01.sul.t-online.de", und stellen sich die Frage "Warum hat
T-Online so viele Server mit so vielen komischen Namen? Würde einer
nicht reichen? Was machen die denn alle so? Und wie denn nun genau?".

Dazu müssen wir ein wenig in die Details gehen, deswegen ist dieser Text
vielleicht eher für den technisch Interessierten geeignet. Die anderen
können getrost weiterblättern, denn eigentlich läuft das alles ganz
unauffällig im Hintergrund.

Aber wer es dann doch etwas genauer wissen will, bittesehr:

Die Antworten auf diese Fragen lassen sich unter den zwei Begriffen
Lastverteilung und Ausfallsicherheit zusammenfassen.


Lastverteilung
--------------

Ein einzelner Server (was meist auch nichts anderes als ein gut
ausgebauter handelsüblicher PC ist) hat nur eine begrenzte
Leistungsfähigkeit. Man kann diesem einzelnen Server soviele
Hardwareerweiterungen gönnen wie man will, aber über eine bestimmte
Leistungsgrenze kommt man nicht hinaus. Und je mehr man an diesem
einzelnen Gerät aufrüstet umso mehr kostet es, aber umso weniger bringt
es.

Die Lösung für das Problem ist einfach: Man stellt eben mehrere Server
auf und muss nur dafür sorgen, dass die anfallenden Aufgaben ('die
Last') in etwa gleichmäßig auf diese verteilt werden. Das Prinzip
dahinter heißt deswegen auch 'Lastverteilung'.

Die Vorteile liegen klar auf der Hand: Man kann einerseits bei den
einzelnen Servern die Hardware etwas ökonomischer dimensionieren und
andererseits bei notwendiger Erweiterung einfach einen weiteren Server
dazustellen. Das Prinzip dahinter heißt im Jargon 'Skalierbarkeit'.


Ausfallsicherheit
-----------------

Hardware ist nicht beliebig zuverlässig, das hat jeder schon einmal
erlebt, wenn eben doch mal ein Bauteil defekt ist. Und schon geht nichts
mehr - oder doch?

Während es vielleicht nicht ganz so schlimm ist, wenn der heimische PC
mal für einige Tage bei der Reparatur ist (Fahrradfahren ist ja auch
ganz nett), wäre das gleiche bei Servern, die 24h rund um die Uhr
ständig für alle unsere Kunden erreichbar sein sollen, doch ziemlich
unangenehm.

Und da ist es eben wieder ganz praktisch, dass es mehrere Server von
einer Sorte gibt. Wenn also mal einer ausfällt, so kann entweder
ein anderer die Aufgaben von zweien übernehmen oder man ändert die
Verteilung, so dass nur die noch funktionierenden Server angesprochen
werden. Das Prinzip dahinter heißt 'Ausfallsicherheit'.


Und wie funktioniert das?
-------------------------

Man ordnet einem bestimmten Hostnamen (wie z.B. classigate.t-online.de)
eben nicht einen einzelnen Server sondern mehrere zu, in diesem Beispiel
sind dies zum Zeitpunkt dieses Postings 194.25.134.208, 194.25.134.209,
194.25.134.212, 194.25.134.213, 194.25.134.240, 194.25.134.241,
194.25.134.244 und 194.25.134.245. Den Rest besorgt dann der Nameserver
automatisch: Bei jeder Anfrage nach einem solchen Hostnamen wird die
Liste der zugeordneten Server neu durcheinandergewürfelt. Wenn man z.B.
den ClassicClient der T-Online-Software 3 startet, wird eine neue
Anfrage auf den passenden Hostnamen (classicgate.t-online.de) gemacht
und man erhält mit hoher Wahrscheinlichkeit immer wieder eine etwas
anders sortierte Liste. Dieses Verfahren nennt man übrigens "Round
Robin".

Die meisten Programme verwenden nur den ersten Server in der Liste und
öffnen dann nur eine Netzwerkverbindung zu diesem mehr oder weniger
zufällig ausgewählten Server. Die meisten Programme merken sich übrigens
die einmal abgefragte IP-Adresse während einer Session und fragen beim
nächsten Request nicht noch einmal den Nameserver nach der Auflösung des
Hostnamens. Wenn also nur genügend Anfragen kommen (keine Sorge, dafür
sind ja genug Kunden da), dann verteilt sich das ganze recht gleichmäßig
auf die einzelnen Server.

Eine zweite Möglichkeit besteht darin, einen sogenannten "Loadbalancer"
einzusetzen. Der Host hat im DNS-Server dann nur eine IP, jedoch steckt
hinter diesem Host dann nicht wirklich der gewünschte Server, sondern
eben der Loadbalancer, dem nun die Aufgabe zukommt, die Anfragen auf die
hinter ihm hängenden Server gleichmäßig zu verteilen. Der Vorteil von
Loadbalancern ist vor allem, dass eine besser abgestufte Lastverteilung
möglich ist und dass auf etwaige Ausfälle schneller reagiert werden kann
als bei "Round Robin". Loadbalancer werden sowohl in Software als auch
in Hardware realisiert.

Eine Beispiel für eine Softwarelösung stellen die regionalen DNS-Server
von T-Online dar: Werden diese nach der IP-Adresse des Proxyservers
"www-proxy.t-online.de" befragt, dann geben sie immer ihre eigene
IP-Adresse zurück. Nur läuft auf dem Rechner, auf dem der DNS-Server
installiert ist, überhaupt keine Proxy-Software. Vielmehr läuft hier ein
Loadbalancer, der Anfragen auf Port 80 an mehrere dahinter hängende
Proxy-Server gleichmäßig verteilt. Ein Beispiel für eine Hardwarelösung
ist der Newsserver "news.t-online.de", das Prinzip entspricht natürlich
dem einer Softwarelösung.

Natürlich sind da noch so einige Haken bei der Sache, z.B. müssen aus
technischen Gründen manchmal die Servernamen, manchmal die IP-Adressen
der Server in die internen Listen aufgenommen werden. Oder die
Verteilung darf nicht immer zufällig sein, wie z.B. bei den Servern, die
die Mailboxen der Benutzer enthalten. Auch regionale Verteilungen wie
z.B. bei den WWW-Proxy Servern werden über einige andere technische
Maßnahmen erreicht. Und dann gibt es noch das nicht zu unterschätzende
Problem, dass sich die unter einem gemeinsamen Hostnamen erreichbaren
Server alle möglichst gleich verhalten sollten. Und noch vieles mehr ...

Hier endet dann auch unsere Auskunftsfreudigkeit weil es sich bei allen
weiteren Details um Interna handelt, die wir nicht veröffentlichen
möchten (die Konkurrenz schläft schließlich nicht). Das ist auch nicht
unbedingt notwendig, da das meiste davon hinter den Kulissen abläuft und
man kaum etwas davon merkt.

Nur manchmal blitzen eben kurz so komische Namen in den Statuszeilen auf
und wir werden nach den tieferen Gründen dafür gefragt. Deswegen diese
kleine Erläuterung zur allgemeinen Information.


Noch Fragen?
------------

Noch einige in dem Zusammenhang häufig gestellte Fragen:

F: Darf ich/Soll ich einen einzelnen Servernamen, wie z.B.
"news02.btx.dtag.de" in meine Programme eintragen?

A: Nein, bitte nicht! Wenn wir an der Verteilung auf einzelne Server
etwas ändern oder wenn eben doch mal einer der Server ausgefallen ist,
dann könnte es leicht passieren, dass Sie ganz unerwartet auf dem
falschen Server landen oder keinen Server erreichen.


F: Darf ich/Soll ich die IP-Nummer (194.25.abc.xyz) eines Servers
eintragen?

A: Nein bitte nicht! Wir müssen aus technischen Gründen ab und zu die
Nummern unserer Server ändern oder erweitern. Wenn Sie dann eine feste
IP-Nummer eingetragen haben, geht es einfach irgendwann nicht mehr. Eine
Ausnahme stellen die DNS-Server dar.


F: Falls einige der Hostnamen auf die gleichen Server zeigen, dann kann
ich mir das doch sparen, unterschiedliche Namen in der Konfiguration
meiner Programme einzugeben, oder?

A: Nein, bitte nicht! Nur weil bestimmte Funktionen auf den gleichen
Servern konzentriert sind (notorisch dafür sind z.B.
fwdxx.sul.t-online.de) heißt das nicht, dass das auch in Zukunft immer
so sein muss. Wenn sich bei den Zuordnungen eben doch mal etwas ändert
(was in der Vergangenheit schon öfter der Fall war), würden Sie
plötzlich mit einer unbrauchbaren Konfiguration dastehen. Verwenden Sie
bitte immer die richtigen und allgemein veröffentlichten
'Funktionsnamen' für die richtigen Zwecke.


F: Welche Servernamen gibt es denn da so, die für mich interessant sind?

A: mailto.t-online.de - eMails versenden (SMTP)
smtprelay.t-online.de - eMails versenden (SMTP, nur nach Anmeld.)
pop.t-online.de - eMails aus der Mailbox abholen (POP3)
multipop.t-online.de - eMails abholen - auch für Mitben. (POP3)
securesmtp.t-online.de - eMails per SSL versenden (ASMTP) [1]
smtpmail.t-online.de - eMails unverschl. versenden (ASMTP) [1]
securepop.t-online.de - eMails per SSL abholen (POP3) [1]
popmail.t-online.de - eMails unverschlüsselt abholen (POP3) [1]
news.t-online.de - News lesen und schreiben (NNTP)
foren.t-online.de - Foren-Artikel lesen und schreiben (HTTP)
chat.t-online.de - HTML-Chat von T-Online (HTTP)
www.t-online.de - Die T-Online Homepage (HTTP)
webmail.t-online.de - T-Online-WebMail (HTTPS)
webbanking.t-online.de - T-Online-WebBanking (HTTPS)
wap.t-online.de - T-Online-WAP-Dienste (WAP)
weborganizer.t-online.de - T-Online-WebOrganizer (HTTPS)
home.t-online.de - Die Homepages der T-Online Kunden (HTTP)
home-up.t-online.de - Die eigene Homepage hochladen (FTP)
www-proxy.t-online.de - Proxyserver für WWW/HTTP
ntp1.sda.t-online.de - Timeserver (SNTP)
classicgate.t-online.de - ClassicGate (CEPT, Transport/S)
pcclient.tom.t-online.de - Server für den T-Online Messenger (TOM)
194.25.2.129 - DNS-Server für Namensauflösung

[1] Diese Server können auch aus fremden Netzen heraus genutzt werden
und gehören zum zusatzkostenpflichtigen Produkt T-Online POP3 eMail.

Und ja, es gibt noch weitere, aber auf diese wird entweder automatisch
verwiesen (z.B. service.t-online.de) oder diese spielen nur eine Rolle
für interne und externe Server untereinander.


F: Für einige Dienste kann oder muss ich in meinem entsprechenden Client
einen Usernamen und ein Kennwort eingeben. Welche Eingaben soll ich hier
vornehmen?

Bei den personalisierten Diensten wie z.B. dem Homepage-Upload auf
home-up.t-online.de, dem eMail-Abruf von pop.t-online.de oder dem
Zugriff auf den Newsserver news.t-online.de können Sie den Usernamen und
das Kennwort beliebig wählen. Keinesfalls sollten Sie hier Ihre
Zugangsdaten verwenden! Ihre Anschlusskennung und das Zugangskennwort
sind unbedingt geheimzuhalten und sollten *nur* für die Einwahl zu
T-Online verwendet werden. Damit die Zugangsdaten nicht versehentlich an
anderer Stelle verwendet werden, empfehlen wir folgende Einstellungen:

Server für eingehende Mail (POP3): pop.t-online.de
Konto (User): Alias ohne @t-online.de
Passwort: . (nur ein Punkt!)

Nur für Nutzer des Komfortpakets:
Server für eingehende Mail (POP3): multipop.t-online.de
Konto (User): die komplette eMail-Adresse bei T-Online
Passwort: Das POP3-Kennwort, welches Sie selbst vergeben haben

Server für Homepage-Upload (ftp): home-up.t-online.de
Konto (User): ftp
Password: Ihre eMail-Adresse

Newsserver: news.t-online.de
Bei den meisten Newsclients ist die Anmeldung am Server bereits per
Default deaktiviert oder lässt sich zumindest deaktivieren - von dieser
Möglichkeit sollten Sie Gebrauch machen (nähere Hinweise zur
Konfiguration der verbreitesten Newsreader finden Sie in gesonderten
Artikeln in der Gruppe <news:t-online.info.tips+tricks>). Ansonsten
verwenden Sie bitte die gleichen Einstellungen wie bei pop.t-online.de.

Zur Erklärung:
Sie werden schon beim Login in T-Online identifiziert. Dabei bekommen
Sie eine dynamisch vergebene IP-Adresse zugewiesen, die für die Dauer
der Session mit dem Benutzerdatensatz des Kunden verknüpft wird. Wenn
Sie sich am Mail-Server (oder News-Server oder sonstigen
personalisierten Diensten) anmelden, fragt der entsprechende
Dienste-Server den Radius-Server nach Ihrer Identität. Was immer Sie als
"Username" und "Kennwort" eingeben, wird ignoriert; Sie werden allein
anhand der oben genannten Verknüpfung identifiziert.


Mit freundlichen Grüßen
Ihr T-Online-Team

P.S.: Gruppenwechsel nach <news:t-online.neubenutzer.fragen> veranlasst.
--
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
mailto:T-Online-Team@t-online.com
--- --- --- --- --- --- --- --- --- --- --- --- --- --- ---
Es gibt aber auch diverse Seiten, wo die DNS Server der Provider stehen, z.B. auch Ciaohier
Ciao

[defence]

Hallo kdd,

vielen Dank für den Artikel. Er enthält einige interessante Informationen.

In dem von Dir zitierten Link auf die Liste der DNS-Server werden nach meiner Auffassung - soweit es t-online und meinen Zugangsort betrifft - nur die 'Reserve'-Server aufgeführt.

Hauptsächlich ist die IP-Adresse richtig, die hier ermittelt wird:

http://www.atelier89.de/users/dirk/index.html

Schaltet man in der Firewall nur die 'Reserve'-Server frei, muss man beim Verbindungsaufbau mit nicht unerheblichen Verzögerungen rechnen, weil die Firewall zunächst eine ganze Reihe von Versuchen über den 'Haupt'-DNS-Server blockt. Das kann man mit Telnet feststellen, wenn man die Log-Funktion einschaltet und sich danach die geblockten Pakete ansieht.

Grüsse