advertisement
▼
Scroll to page 2
of 55
Michelangelo Office Pro V ADSL2+ Indice INDICE DICHIARAZIONE CE DI CONFORMITA’ PREMESSA CONDIZIONI AMBIENTALI AVVERTENZE GENERALI PULIZIA DELL’APPARATO VIBRAZIONI O URTI 1. 2. 3. INTRODUZIONE 1.1. CARATTERISTICHE 1.2. DESCRIZIONE PORTE E LED INSTALLAZIONE CONFIGURAZIONE 3.1. CONFIGURAZIONE DEL COMPUTER 3.2. CONFIGURAZIONE MICHELANGELO OFFICE PRO V 3.2.1. REGOLE GENERALI DI CONFIGURAZIONE 3.2.2. ACCESSO ALLA CONFIGURAZIONE DEL ROUTER 3.3. CONFIGURATION – LAN 3.3.1. BRIDGE INTERFACE 3.3.2. ETHERNET 3.3.3. ETHERNET CLIENT FILTER 3.3.4. PORT SETTING 3.3.5. DHCP SERVER 3.4. CONFIGURATION – WAN 3.4.1. ISP 3.4.2. LINEA PPPOA / PPPOE 3.4.3. LINEA RFC 1483 ROUTED CON 1 INDIRIZZO IP STATICO 3.4.4. LINEA RFC 1483 ROUTED CON PIÙ INDIRIZZI IP STATICI 3.4.5. DNS 3.4.6. ADSL 3.5. CONFIGURATION – SYSTEM 3.5.1. TIMEZONE 3.5.2. REMOTE ACCESS 3.5.3. FIRMWARE UPGRADE 3.5.4. BACKUP/RESTORE 3.5.5. RESTART ROUTER 3.5.6. USER MANAGEMENT 3.6. CONFIGURATION – FIREWALL 3.6.1. GENERAL SETTINGS 3.6.2. PACKET FILTER 3.6.3. INTRUSION DETECTION 3.6.4. URL FILTER 3.6.5. FIREWALL LOG 3.7. CONFIGURATION – VPN 3.7.1. VPN PPTP (POINT-TO-POINT TUNNELING PROTOCOL) 3.7.2. PPTP – REMOTE ACCESS 3.7.3. PPTP – LAN TO LAN 3.7.4. VPN IPSEC II III III III III III 1.1 1.2 1.3 2.1 3.1 3.1 3.1 3.1 3.2 3.3 3.3 3.3 3.4 3.4 3.5 3.7 3.7 3.7 3.8 3.9 3.9 3.9 3.10 3.10 3.10 3.10 3.11 3.11 3.12 3.12 3.12 3.13 3.14 3.15 3.17 3.17 3.17 3.18 3.18 3.19 I Michelangelo Office Pro V ADSL2+ A. 3.7.5. ADVANCED OPTIONS 3.7.6. L2TP 3.7.7. L2TP - REMOTE ACCESS 3.7.8. L2TP - LAN TO LAN 3.8. CONFIGURATION – QOS 3.8.1. PRIORITIZATION 3.8.2. OUTBOUND IP THROTTLING 3.8.3. INBOUND IP THROTTLING 3.9. CONFIGURATION – VIRTUAL SERVER 3.9.1. ADD VIRTUAL SERVER 3.9.2. EDIT DMZ HOST 3.9.3. EDIT ONE-TO-ONE NAT 3.10. CONFIGURATION – TIME SCHEDULE 3.11. CONFIGURATION – ADVANCED 3.11.1. STATIC ROUTE 3.11.2. DYNAMIC DNS 3.11.3. CHECK EMAILS 3.11.4. DEVICE MANAGEMENT 3.11.5. IGMP 3.12. STATUS 3.12.1. STATUS – ARP TABLE 3.12.2. STATUS – DHCP TABLE 3.12.3. STATUS – PPTP STATUS, IPSEC STATUS, L2TP STATUS 3.12.4. STATUS – EMAIL STATUS 3.12.5. STATUS – EVENT LOG, ERROR LOG APPENDICE A.1. PORTE TCP/UDP MAGGIORMENTE UTILIZZATE A.2. PACKET FILTER – DEFAULT CONFIGURATION A.3. TOS BIT CONFIGURATION A.4. ELENCO SERVER DNS A.5. ACCESSO DA REMOTO CON VPN PPTP A.6. CONNESSIONE IPSEC PRO-V E FIREGATE Indice 3.20 3.21 3.22 3.23 3.24 3.24 3.25 3.25 3.26 3.26 3.27 3.27 3.28 3.29 3.29 3.29 3.29 3.30 3.30 3.31 3.31 3.31 3.31 3.31 3.31 A.1 A.1 A.2 A.2 A.3 A.5 A.7 DICHIARAZIONE CE DI CONFORMITA’ Noi, Digicom S.p.A. via Volta 39 - 21010 Cardano al Campo (Varese - Italy) dichiariamo sotto la nostra esclusiva responsabilità, che i prodotti, Nome: MICHELANGELO Office Pro V al quale questa dichiarazione si riferisce, soddisfano i requisiti essenziali della sotto indicata Direttiva: 1999/5/CE del 9 marzo 1999, R&TTE, (riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione e il reciproco riconoscimento della loro conformità). Come designato in conformità alle richieste dei seguenti Standard di Riferimento o ad altri documenti normativi: - EN 55022 - EN 61000-3-2 - EN 61000-3-3 - EN 301 489-1 - EN 301 489-17 - ITU-T K.21 - EN 60950 II Michelangelo Office Pro V ADSL2+ Indice PREMESSA E’ vietata la riproduzione di qualsiasi parte di questo manuale, in qualsiasi forma, senza esplicito permesso scritto della Digicom S.p.A. Il contenuto di questo manuale può essere modificato senza preavviso. Ogni cura é stata posta nella raccolta e nella verifica della documentazione contenuta in questo manuale, tuttavia la Digicom non può assumersi alcuna responsabilità derivante dall’utilizzo della stessa. Al fine di salvaguardare la sicurezza, l’incolumità dell’operatore ed il funzionamento dell’apparato, devono essere rispettate le seguenti norme installative: CONDIZIONI AMBIENTALI Temperatura ambiente Umidità relativa da 0 a +40°C dal 20 a 90% n.c. Si dovrà evitare ogni cambiamento rapido di temperatura e umidità Polvere, umidità, calore elevato ed esposizione diretta alla luce del sole. Oggetti che irradiano calore. Questi potrebbero causare danni al contenitore o altri problemi. Oggetti che producono un forte campo elettromagnetico (altoparlanti Hi-Fi, ecc.) Liquidi o sostanze chimiche corrosive. AVVERTENZE GENERALI Per evitare scosse elettriche, non aprite l’apparecchio o il trasformatore. Rivolgetevi solo a personale qualificato. Scollegate il cavo di alimentazione dalla presa a muro quando non intendete usare l’apparecchio per un lungo periodo di tempo. Per scollegare il cavo tiratelo afferrandolo per la spina. Non tirate mai il cavo stesso. In caso di penetrazione di oggetti o liquidi all’interno dell’apparecchio, scollegate il cavo di alimentazione e fate controllare da personale qualificato prima di utilizzarlo nuovamente. PULIZIA DELL’APPARATO Usare un panno soffice asciutto senza l’ausilio di solventi. VIBRAZIONI O URTI Attenzione a non causare vibrazioni o urti. Smaltimento delle apparecchiature obsolete Tutti i prodotti elettrici ed elettronici, devono essere smaltiti separatamente rispetto alla raccolta differenziata municipale, mediante impianti di raccolta specifici designati dal governo o dalle autorità locali. Quando sul prodotto è riportato il simbolo di un bidone della spazzatura barrato da una croce, significa che l’apparato è coperto dalla direttiva europea 2002/96/EC (WEEE). Sono previste sanzioni, in caso di smaltimento abusivo di detti prodotti. III Michelangelo Office Pro V ADSL2+ Introduzione 1. INTRODUZIONE Gentile Cliente, la ringraziamo per la fiducia accordataci nell’acquistare un prodotto Digicom. Michelangelo Office Pro V riunisce in un unico dispositivo tutte le funzionalità e le caratteristiche necessarie a realizzare un efficiente accesso ad Internet via ADSL, fornendo nel contempo la protezione della rete LAN locale da attacchi provenienti dal mondo esterno, tramite un firewall integrato. Il supporto VPN (Virtual Private Network) offre la possibilità di fornire l’accesso alla rete LAN locale anche ad utenti remoti (client o LAN) in modo sicuro e protetto da crittografia dei dati. La gestione del QoS e delle Virtual Lan permettono di raggiungere un ottimo livello di ottimizzazione del traffico sulla LAN. Prerequisiti Computer con schede di rete Ethernet 10/100 Mbps Protocollo TCP/IP installato su ogni macchina Cavi di rete dritti, connettori RJ45 su entrambe le estremità Linea ADSL su linea analogica, connettore RJ11 Abbonamento ADSL singolo utente o multiutente stipulato con un ISP Dati relativi all’abbonamento Contenuto della confezione 1 Michelangelo Office Pro V 1 Alimentatore 1 CD-ROM completo di manuali Manuale di configurazione rapida 1 cavo RJ45-RJ45 dritto 1 cavo di linea RJ11-RJ11 1.1 Michelangelo Office Pro V ADSL2+ Introduzione 1.1. CARATTERISTICHE ADSL, ADSL2, ADSL2+ Velocità dati asimmetrica Velocità massima Ricezione (downstream) : 24Mbit/s(ADSL2+), 12Mbit/s(ADSL2), 8Mbps(ADSL) Velocità massima Trasmissione (upstream) : 1Mbit/s Standard ADSL: ANSI T1.413, Issue 2; G.dmt (ITU G.992.1); G.lite (ITU G.992.2); G.hs (ITU G994.1); G.dmt.bis (ITU G.992.3); G.dmt.bisplus (ITU G.992.5) Protocolli Supportati : RFC 2364 (PPP over ATM) RFC 2516 (PPP over Ethernet) RFC 1483 (Bridged e Routed Ethernet over ATM) Interfaccia WAN ADSL: Connettore RJ11 LAN Switch 4 porte 10/100 Mbit/s Funzione MDI / MDI-X su tutte le 4 porte Supporto IP Alias DHCP Server e Relay Supporto VLAN Ethernet Client Filter FIREWALL Protocollo NAT Protezione Packet Filter Protezione MAC Address Filter Protezione URL Filter Intrusion Detection (Protezione da attacchi tipici, Denial of Service e Scan) APPLICAZIONI AVANZATE Client e Server VPN con protocollo PPTP e IPSEC, L2TP QoS – Quality of Service Lan -> Wan, Wan -> Lan Esportazione servizi (Virtual Server) Supporto DMZ Dynamic DNS Check Emails 1.2 Michelangelo Office Pro V ADSL2+ Introduzione 1.2. DESCRIZIONE PORTE E LED Fig. 1.1. Vista frontale PWR SYS LAN Port 1-4 PPP/MAIL ADSL Acceso quando il router è alimentato Acceso quando il sistema è pronto Accese quando un dispositivo Ethernet è collegato alla relativa porta LAN Verde -> connesso a 100Mbit/s Arancione -> connesso a 10Mbit/s Lampeggiante indica l'attività dati sulla porta LAN Acceso quando è attiva una connessione ADSL di tipo PPPoA oppure PPPoE Lampeggiante periodicamente se sono stati rilevati nuovi messaggi e-mail dalla funzione Check Emails Acceso indica che la connessione ADSL è stabilita Fig. 1.2. Vista posteriore LINE Console LAN 1-4 Reset PWR Power Switch Ingresso per la linea ADSL, connettore RJ-11 Porta di console PS2/RS-232 per l'accesso alla configurazione Porta LAN per collegare dispositivi Ethernet, connettori RJ-45 Tasto di reset. Tenendo premuto il tasto di reset per n secondi si effettuano le seguenti operazioni: 0-3 secondi -> reset software (off/on del Router) più di 6 secondi -> reset hardware, ripristino alle impostazioni di fabbrica Ingresso per l'alimentatore Interruttore di accensione, Power ON - Power OFF 1.3 Michelangelo Office Pro V ADSL2+ Installazione 2. INSTALLAZIONE Alimentazione Alimentate il Router utilizzando l’alimentatore fornito nella confezione quindi accendete il dispositivo tramite l’apposito interrurrore di accensione Power Switch. Connessione ADSL Collegate la linea ADSL al connettore LINE presente nel pannello posteriore. Connessione LAN Collegate i Computer della vostra LAN (fino a quattro) direttamente al Router ad una delle porte LAN presenti nel pannello posteriore. Se disponete di una rete LAN pre-esistente, collegate una delle porte LAN del router ad una porta del vostro HUB o Switch di rete LAN, tramite un cavo RJ45-RJ45 diritto (funzionalità MDI/MDI-X automatica effettuata dal router). 2.1 Michelangelo Office Pro V ADSL2+ Configurazione 3. CONFIGURAZIONE Per effettuare la configurazione del Router è necessario disporre di tutti i dati relativi al Vostro abbonamento ADSL. Questi dati vi devono essere forniti dal provider Internet con il quale avete stipulato il contratto di accesso ad Internet su ADSL. I parametri richiesti solitamente sono: VPI / VCI (normalmente 8 / 35) Tipo di protocollo (PPP over ATM, PPP over Ethernet, RFC 1483…..) Indirizzi IP dei DNS utilizzati dal provider Username e Password oppure IP assegnati. 3.1. CONFIGURAZIONE DEL COMPUTER Per accedere alla configurazione del router è indispensabile che il computer utilizzi il protocollo TCP/IP e che disponga di un comune Browser grafico (Explorer, Netscape, Opera …). Le impostazioni di fabbrica (default) del router sono: Indirizzo IP: 192.168.1.254 Subnet Mask: 255.255.255.0 DHCP Server: Abilitato Per accedere alla configurazione quindi occorre impostare sul computer un indirizzo IP della stessa rete del router; potete impostare l’indirizzo in modo statico oppure utilizzare l’assegnamento con DHCP Server. Windows® XP Dal menù Start selezionate -> Pannello di Controllo -> Rete e Connessioni Internet , Risorse di rete e selezionate Visualizza risorse di rete. Selezionate Connessione alla rete locale (LAN) e visualizzate le Proprietà, selezionate Protocollo Internet (TCP/IP) e premete sul pulsante Proprietà. Se volete utilizzare un indirizzo IP Statico inserite un indirizzo 192.168.1.x (con x compreso tra 1 e 253), Subnet Mask 255.255.255.0 e gateway 192.168.1.254 Se volete utilizzare un DHCP Server, impostate “ottieni automaticamente un indirizzo IP”. 3.2. 3.2.1. CONFIGURAZIONE MICHELANGELO OFFICE PRO V REGOLE GENERALI DI CONFIGURAZIONE 1. Il PC dal quale eseguite la configurazione del Router deve essere privo di software proxy o firewall. Se utilizzate dei programmi di proxy, firewall o similari, disattivateli temporaneamente per poter effettuare la configurazione del Router. 2. In ogni finestra di configurazione premete Apply per attivare le impostazioni; le modifiche hanno effetto immediato. 3. Per salvare le impostazioni in modo definitivo (in modo che rimangano attive anche dopo uno spegnimento del router) selezionate l’opzione Save Config to FLASH e successivamente Apply 3.1 Michelangelo Office Pro V ADSL2+ 3.2.2. Configurazione ACCESSO ALLA CONFIGURAZIONE DEL ROUTER Aprite il vostro Browser e verificate che non sia impostato per utilizzare un proxy. Digitate l’URL http://192.168.1.254 Nota: 192.168.1.254 è l’indirizzo IP di fabbrica del router Vi verrà richiesto di autenticarvi per poter accedere alla configurazione del Router: Inserite: Nome utente: Password: admin admin Nota: admin è la username e password di fabbrica del router. Vi consigliamo di modificarle successivamente, una volta terminata la configurazione, per motivi di sicurezza. Selezionate la voce Configuration per configurare tutte le funzionalità del dispositivo. 3.2 Michelangelo Office Pro V ADSL2+ 3.3. 3.3.1. Configurazione CONFIGURATION – LAN BRIDGE INTERFACE Grazie alle funzionalità di VLAN è possibile effettuare una divisione logica della rete aziendale in 4 diversi gruppi. P1-P4: Ethernet-Ethernet3: rappresentano le porte fisiche di LAN, dalla 1 alla 4 rappresentano i gruppi logici creati tra le porte Nell’immagine precedente sono stati creati 2 gruppi, Ethernet che include le porte 1 e 2, Ethernet1 che include le porte 3 e 4. Cliccando sul nome di un gruppo si accede alla configurazione del gruppo. 3.3.2. ETHERNET Michelangelo Office Pro-V Adsl 2+ è in grado di gestire più indirizzi IP di LAN. Utilizzando questa funzionalità è possibile fornire accesso ad Internet a 2 reti distinte allo stesso tempo. Il campo Primary IP Address rappresenta l’indirizzo IP principale del dispositivo, impostate qui l’indirizzo che volete utilizzare. Per aggiungere un ulteriore indirizzo IP selezionate il tasto Add nella sezione IP Alias. Abilitate, se necessario l’invio e ricezione di pacchetti RIP versione 1, 2 ed il supporto Multicast. Selezionate Apply per attivare le impostazioni effettuate. Nota: l’indirizzo IP diventerà attivo da subito, se cambiate classe di indirizzo IP per completare la configurazione è necessario modificare l’indirizzo IP del Pc e successivamente rientrare in configurazione. 3.3 Michelangelo Office Pro V ADSL2+ 3.3.3. Configurazione ETHERNET CLIENT FILTER Questa funzionalità permette di abilitare o disabilitare l’accesso ad Internet ad un elenco di host (max. 16) basandosi sull’indirizzo fisico (MAC Address) della scheda. Ethernet Client Filter: Allowed: Blocked: MAC Address: abilita la funzionalità MAC Address Filter Il router è abilitato ad operare solamente con i MAC address inseriti nella tabella, tutte le altre schede di rete non possono comunicare con e attraverso il router. Il router comunica con tutte le macchine, ad esclusione di quelle con il MAC address inserito in tabella. Inserite gli indirizzi MAC Cliccando sul link Candidates è possibile visionare tutti i Mac Address dei dispositivi attualmente collegati al router, per permetterne un rapido inserimento. 3.3.4. PORT SETTING Questo menu permette di impostare i parametri di funzionamento delle porte LAN. Port (1-4) Connection Type: Ogni porta Ethernet può essere singolarmente configurata per operare in automatico, velocità fissa 10 o 100Mbit, Half o Full duplex. Utilizzare l’impostazione ‘auto’ a meno che non si debba forzare la velocità o modalità di funzionamento per apparati non in grado di negoziarla correttamente. IPv4 TOS priority Control: Abilita il controllo del byte di TOS e delle priorità in esso impostate nel pacchetto IP. 3.4 Michelangelo Office Pro V ADSL2+ 3.3.5. Configurazione DHCP SERVER Questo menu permette di impostare i parametri relativi al servizio DHCP: DHCP Server Mode Disable: Disabilita il DHCP Server. DHCP Server : Abilita il DHCP Server interno del router. DHCP relay agent: permette l’utilizzo di Server DHCP già presenti in rete. Le richieste DHCP che perverranno al router verranno reindirizzate al DHCP di rete impostato. Selezionando NEXT è possibile modificare le impostazioni del server DHCP. Il DHCP Server può essere attivato solamente sul Primary IP Address. Allow Bootp: se abilitato assegna l’indirizzo IP anche ai client che utilizzano il bootp Allow Unknown Client: se abilitato assegna un indirizzo IP a tutti i client che ne fanno richiesta. Se disabilitato solo i client inseriti in Fixed Host potranno ricevere un indirizzo IP. Use Default Range: imposta automaticamente il range utilizzando i primi 20 indirizzi della rete. Starting-Ending IP Address: definiscono un range di indirizzi IP (inizio – fine) che il DHCP server può allocare ai vari client. Lease Time: imposta il tempo di default e il tempo massimo di validità di un indirizzo IP, una volta assegnato tramite DHCP server. Non modificate questi valori se non avete esigenze particolari. Use Router as DNS Server: assegna l’indirizzo IP del router come server DNS. Il Router dovrà avere impostati gli indirizzi DNS nella apposita finestra di configurazione della sezione WAN per poter operare come DNS Proxy. Primary / Secondary DNS Server Address: Se il DHCP server deve assegnare degli indirizzi di DNS prefissati, inseriteli in questi campi e disabilitate la funzione “Use Router as DNS Server Address”. Use Router as Default Gateway: assegna l’indirizzo IP del router come Gateway. Disabilitate questa funzione solamente se volete fornire accesso alla rete LAN ai client DHCP senza permettere loro la navigazione. E’ possibile assegnare sempre lo stesso indirizzo IP ad una determinata macchina, creando degli IP riservati, tramite il menu FixedHost. 3.5 Michelangelo Office Pro V ADSL2+ Name: IP Address: MAC Address: Maximum Lease Time: Configurazione Inserite un nome mnemonico per la macchina Inserite l’indirizzo IP che volete assegnare alla macchina. Inserite l’indirizzo MAC della scheda di rete che identifica la macchina. Tempo di validità dell’indirizzo IP assegnato. Una volta creato un FixedHost è possibile visualizzare l’elenco degli host configurati: Edit: Delete: Create: permette la modifica dell’Host cancella l’Host visualizza la finestra ‘FixedHost Create’ per aggiungere un nuovo Host. DCHP Relay Agent Impostando questa modalità se il router riceve una richiesta di indirizzo IP tramite Dhcp la inoltra ad un server Dhcp già presente in rete. DHCP Server IP Address: Impostate l’indirizzo IP del server DHCP già presente in rete Cliccate sul tasto Apply per attivare questa configurazione. 3.6 Michelangelo Office Pro V ADSL2+ 3.4. Configurazione CONFIGURATION – WAN In questo menu è possibile inserire i parametri di accesso alla linea ADSL. 3.4.1. ISP Nella sezione ISP (Interner Service Provider) selezionare il tipo di protocollo utilizzato dalla linea Adsl . 3.4.2. LINEA PPPOA / PPPOE Le linee con indirizzo IP dinamico utilizzano il protocollo PPPoA, oppure il protocollo PPPoE (quest’ultimo generalmente solo su richiesta). Questo tipo di linee prevedono un autenticazione tramite un nome utente ed una password. Selezionate PPPoA router se disponete di questo tipo di linea, selezionate Next: VPI e VCI: se non diversamente indicati nel contratto di attivazione della linea Adsl, inserite rispettivamente 8 e 35 come nell’esempio. ATM Class: Lasciate impostato UBR; impostate un altro valore solo se espressamente richiesto dal vostro Provider Adsl. NAT: Impostate Enable Username e Password: Inserite Username e Password forniti dal provider per la connessione alla linea Adsl. IP address: lasciate 0.0.0.0 per utilizzare l’indirizzo IP dinamico che vi verrà assegnato dal provider al momento della connessione. Authentication Protocol: selezionate Chap(Auto) Connection: selezionate Always On Idle Timeout (in minutes): impostate 0 per non forzare mai la disconnessione da Internet. 3.7 Michelangelo Office Pro V ADSL2+ Configurazione Se la linea è di tipo PPPoE selezionate PPPoE router e premete Next: I parametri da impostare sono equivalenti a quelli descritti per la linea PPPoA. Nel campo Service name non inserite nulla, se non espressamente richiesto dal provider. 3.4.3. LINEA RFC 1483 ROUTED CON 1 INDIRIZZO IP STATICO Le linee con indirizzo IP statico generalmente utilizzano il protocollo RFC 1483 Routed con incapsulamento LLC. VPI e VCI: se non diversamente indicati nel contratto di attivazione della linea Adsl, inserite rispettivamente 8 e 35 come nell’esempio. NAT: Impostate Enable Encapsulation method: selezionate LLC Routed Selezionate l’opzione Use the following IP address. Inserite in IP Address l’indirizzo IP che vi è stato assegnato dal provider. Inserite in Netmask la Subnet Mask che vi è stata indicata dal provider Inserite in Gateway l’indirizzo IP del Gateway che vi è stato assegnato dal provider. 3.8 Michelangelo Office Pro V ADSL2+ 3.4.4. Configurazione LINEA RFC 1483 ROUTED CON PIÙ INDIRIZZI IP STATICI La configurazione del router è equivalente a quella per la linea ad un singolo indirizzo IP statico. Per poter effettivamente utilizzare gli indirizzi IP pubblici che vi sono stati assegnati, dovrete disabilitare il NAT (NAT: Disable) e configurare il primo indirizzo IP utile del vostro range sull’interfaccia di LAN del router. Tutte le macchine che dovranno lavorare con indirizzi IP pubblici dovranno essere configurate nel seguente modo: IP: uno degli IP pubblici Subnet Mask: la Subnet associata ai vostri indirizzi pubblici. Gateway: l’indirizzo pubblico assegnato al router (sulla LAN) DNS: Gli indirizzi dei DNS forniti dal provider. 3.4.5. DNS I DNS sono fondamentali per la risoluzione dei nomi, pertanto è necessario che ogni macchina conosca gli indirizzi IP dei DNS. Se non utilizzate il DHCP server dovete inserire manualmente gli indirizzi dei DNS nelle proprietà della scheda di rete di ogni PC. Avete due opzioni: 1. Inserite nella configurazione dei DNS di ogni PC quelli che vi ha fornito il provider. 2. Inserite nella configurazione dei DNS di ogni PC l’indirizzo IP di LAN del router ed inserite gli indirizzi IP dei DNS forniti dal provider nella finestra di configurazione WAN-DNS del router. Nel secondo caso, ogni richiesta di risoluzione DNS verrà inviata al router che, grazie alla funzionalità di DNS Proxy, è in grado provvedere autonomamente alla risoluzione degli indirizzi. L’inserimento dei DNS in questa finestra è necessario anche per poter utilizzare correttamente il servizio di Dynamic DNS. 3.4.6. ADSL In questa finestra è possibile definire i parametri fisici della Linea Adsl. Nel campo Connect Mode impostate il tipo di linea Adsl tra le 3 scelte disponibili. 3.9 Michelangelo Office Pro V ADSL2+ 3.5. Configurazione CONFIGURATION – SYSTEM Questi menu permettono la configurazione dei parametri di sistema del router. 3.5.1. TIMEZONE Il router è in grado di regolare automaticamente l’ora, sfruttando i server SNTP pubblici disponibili in Internet. Time Zone: Enable, abilita il servizio. Selezionate il fuso orario corretto in Local Time Zone. Daylight Saving: 3.5.2. Abilitate questa funzione per gestire automaticamente il passaggio tra ora solare e legale. REMOTE ACCESS Premendo Enable sarà possibile accedere alla configurazione del router da remoto, collegandosi all’indirizzo IP di WAN del router, per il tempo massimo impostato. Eseguite un Logout prima di chiudere il Browser. L’accesso è limitato nel tempo, se volete accedere liberamente al router per la configurazione in modo sicuro, create un profilo VPN PPTP per l’accesso alla LAN e quindi alla configurazione del Router. 3.5.3. FIRMWARE UPGRADE Permette di aggiornare il firmware del dispositivo. Selezionate Sfoglia per indicare il file di aggiornamento ed Upgrade per iniziare la procedura. Non tentare di effettuare un aggiornamento del firmware senza le adeguate istruzioni e i file forniti dal costruttore. 3.10 Michelangelo Office Pro V ADSL2+ 3.5.4. Configurazione BACKUP/RESTORE In questa finestra è possibile salvare la configurazione corrente del router per poterla poi ripristinare in un secondo momento. SALVATAGGIO CONFIGURAZIONE Premete Backup selezionate Salva per salvare il file di configurazione in una cartella sul vostro PC. RIPRISTINO CONFIGURAZIONE Premete Sfoglia ed indicate il file di configurazione che avete salvato sul PC. Premete Restore per caricare la nuova configurazione. 3.5.5. RESTART ROUTER Al termine di tutte le configurazione è consigliabile effettuare un “riavvio” del router. Premete Restart Router per riavviare il dispositivo. Se selezionate la voce Reset to factory default settings il router tornerà alla configurazione di fabbrica, cancellando tutte le impostazioni e dovrà poi essere riconfigurato. Dopo un Reset to factory default settings, i parametri di accesso alla configurazione saranno: indirizzo IP: 192.168.1.254 username: admin password: admin 3.11 Michelangelo Office Pro V ADSL2+ 3.5.6. Configurazione USER MANAGEMENT In questa finestra è possibile modificare la password dell’amministratore del router e creare nuovi utenti in grado di accedere alla configurazione. 3.6. CONFIGURATION – FIREWALL Il Firewall integrato sfrutta le tecniche di stateful packet inspection e packet filtering per fornire due diversi tipi di funzionalità: 1. Firewall: previene gli accessi non autorizzati da internet, con tre livelli di sicurezza: NAT: nasconde gli indirizzi della rete privata LAN all’esterno rendendo difficile l’identificazione di una macchina privata ad un malintenzionato esterno. Firewall Security and Policy: è possibile abilitare o bloccare il passaggio di particolari protocolli in Ingresso. Intrusion Detection: previene o rileva un attacco proveniente dall’esterno. 2. Access Control: previene accessi Internet non autorizzati dalla rete LAN tramite: Firewall Security and Policy: è possibile abilitare o bloccare il passaggio di particolari protocolli in Uscita. MAC Filter rules: abilita o disabilita il passaggio di determinate stazioni in modo univoco (tramite l’indirizzo fisico della scheda di rete) URL Filter: blocca l’accesso ad alcuni siti web, eventualmente in base ad orari prestabiliti. 3.6.1. GENERAL SETTINGS Security: Policy: Block WAN Request: Enable, abilita tutte le funzionalità del firewall. Impostate “All blocked/user profile” per creare delle regole personalizzate. In alternativa potete selezionare “Low” o “Medium” o “High” per attivare alcuni profili già preconfigurati. Se abilitato blocca tutte le richieste in arrivo al firewall da Internet. Una volta abilitato il firewall, TUTTI i pacchetti in ingresso o uscita verranno bloccati Sarà necessario impostare delle regole per abilitare il passaggio dei pacchetti desiderati. La selezione della Firewall Policy influenza solamente la configurazione del menù Packet Filter Per comprendere la creazione delle regole, trovate nell’APPENDICE DEL MANUALE l’elenco delle principali porte utilizzate (l’elenco completo è disponibile alla pagina Internet http://www.iana.org/assignments/port-numbers). 3.12 Michelangelo Office Pro V ADSL2+ 3.6.2. Configurazione PACKET FILTER Questa funzione è disponibile solo quando il Firewall è attivo. In questa pagina è possibile trovare l’elenco completo delle regole impostate sul dispositivo. Se nella finestra di configurazione General Setting avete impostato un livello di sicurezza preconfigurato in questa finestra troverete già diverse regole (l’elenco completo delle regole per i tre livelli è disponibile nell’appendice). Per aggiungere nuovi filtri sono disponibili le seguenti funzioni: Add TCP/UDP filter Rule Name: Time Schedule: Inserite un nome della regola a vostra scelta Selezionate il periodo di validità della regola, sempre attiva (Always On), schedulata (TimeSlot1~16), oppure inserita in lista ma disattivata (Disabled) Source IP Address(es): Impostate l’indirizzo IP di sorgente oppure lasciate 0.0.0.0 (qualsiasi indirizzo) Destination IP Address(es): Impostate l’indirizzo IP di destinazione oppure lasciate 0.0.0.0 (qualsiasi indirizzo) Type: Selezionate il protocollo tra TCP, UDP oppure entrambi TCP/UDP Source Port: Inserite il range di porte sorgenti oppure lasciate 0~65535 (qualsiasi porta) Destination Port: Inserite il range di porta di destinazione oppure lasciate 0~65535 (qualsiasi porta) Inbound: Allow abilita il passaggio dei pacchetti che corrispondono ai parametri specificati, Block ne blocca il passaggio. Outbound: Allow abilita il passaggio dei pacchetti che corrispondono ai parametri specificati, Block ne blocca il passaggio. Selezionate Apply per aggiungere la regola. 3.13 Michelangelo Office Pro V ADSL2+ Configurazione Add RAW IP filter Questo filtro offre la possibilità di controllare direttamente un protocollo. Inserite il numero del protocollo da filtrare in Protocol Number e selezionate i permessi in ingresso e uscita. Selezionate Apply per aggiungere la regola. I principali protocolli sono: 1 ICMP 2 IGMP 4 IP 6 TCP 17 UDP 47 GRE 50 IPSEC ESP 51 IPSEC AH L’elenco dei protocolli definito dall’ RFC 1700 è disponibile nell’APPENDICE DEL MANUALE. 3.6.3. INTRUSION DETECTION Questa funzione ha lo scopo di proteggere la tua LAN da attacchi esterni, come per esempio attacchi DOS (Denial-ofService) o port scan. Lo scopo di questi attacchi è quello di saturare le risorse disponibili sul router e sui server per provocare una temporanea interruzione del funzionamento o in alcuni casi il blocco di tutta la rete LAN. Il firewall è in grado di riconoscere e di interrompere un tentativo di attacco. Inoltre è possibile abilitare la funzione di Blacklist, disabilitando per n secondi la ricezione di pacchetti dagli indirizzi IP che sono stati identificati come attaccanti. Intrusion Detection: selezionate Enable per abilitare le funzioni di Intrusion Detection. Victim Protection Block Duration: inserite il tempo in secondi, di disconnessione della nostra macchina di LAN, se vittima di un attacco. Scan Attack Block Duration: questo tempo identifica la durata di permanenza di un indirizzo IP nella Blasklist se ritenuto colpevole di una scansione dei servizi attivi sulla LAN. 3.14 Michelangelo Office Pro V ADSL2+ Configurazione DOS Attack Block Duration: questo tempo identifica la durata di permanenza di un indirizzo IP nella Blasklist, quando ritenuto colpevole di un attacco DoS. Maximum TCP Open Handshaking Count: numero massimo di richieste (SYN) che possono arrivare al router, o ad un server interno, in un secondo; superato questo valore viene abilitata la protezione per evitare il compimento di una attacco SYN flood. Maximum Ping Count: numero massimo di pacchetti PING che il router può ricevere in un secondo; superata questa soglia il firewall attua le protezioni necessarie a proteggere la LAN da questo tipo di attacco. Maximum ICMP Count: Inserite il massimo numero di pacchetti ICMP che il router può ricevere in un secondo; superate questa soglia il firewall attua le protezioni necessarie a proteggere la LAN da questo tipo di attacco. Se siete indecisi sui valori da impostare, non modificate le impostazioni predefinite. 3.6.4. URL FILTER Questa funzione permette di limitare i siti WEB raggiungibili. URL Filtering: Block Mode: Keywords Filtering: abilita la funzionalità URL Filter selezionate la validità delle regole, sempre attiva (Always On), schedulata (TimeSlot1~16), oppure inserita in lista ma disattivata (Disabled). Se abilitato blocca l’accesso a tutti i siti WEB di cui l’URL contiene una delle stringhe inserite. Selezionate Details per specificare l’elenco delle stringhe da bloccare. La tabella mostra tutte le stringhe che verranno bloccate, selezionate Apply per aggiungerne di nuove oppure Delete per rimuovere una parola dalla lista. 3.15 Michelangelo Office Pro V ADSL2+ Configurazione Con l’esempio mostrato sopra, ogni sito WEB che contiene nell’URL una delle stringhe in tabella non risulterà accessibile: www.ludus.it www.megagames.com etc. etc. Il controllo viene effettuato sull’intero URL, pertanto non sarà possibile nemmeno effettuare una ricerca (per esempio da www.google.it ) che abbia come argomento una delle stringhe impostate. Infatti l’URL che verrà utilizzato per effettuare la ricerca di “giochi” da un qualsiasi motore di ricerca sarà di questo tipo: http://www.google.it/search?hl=it&ie=UTF-8&oe=UTF-8&q=giochi&btnG=Cerca+con+Google&lr= Domains Filtering: Se abilitato applica il filtro basato su domini. Selezionate Details per specificare l’elenco di domini da utilizzare. La tabella mostra in Trusted Domain l’elenco di domini permessi ed in Forbidden Domain l’elenco di quelli da bloccare. Selezionate Apply per aggiungere nuovi domini oppure Delete per cancellarne uno. Il dominio deve essere scritto come nell’esempio, per www.ferrari.it inserite ferrari.it (senza www.) Se invece di scrivere delle regole per bloccare alcuni siti, preferite indicare gli unici domini raggiungibili, selezionate l’opzione Disabile all WEB traffic except for Trusted Domains. In questo caso sarà possibile raggiungere solamente i domini inseriti nella tabella Trusted Domains. Se un PC cerca di raggiungere un sito “bloccato” ottiene solo una pagina di questo tipo: Block Java Applet: Se selezionata, vengono bloccate tutte le applet java. Block Surfing by IP Address: Se selezionate blocca l’accesso a pagine web raggiunte senza una richiesta DNS. 3.16 Michelangelo Office Pro V ADSL2+ 3.6.5. Configurazione FIREWALL LOG In questa finestra è possibile abilitare o disabilitare i log. Il log abilitati saranno visibili nel menù Status – Event Log 3.7. CONFIGURATION – VPN Il router supporta delle funzionalità VPN per stabilire connessioni sicure e protette in Internet con altre reti LAN o Client VPN. Il tunnel VPN può utilizzare il protocollo PPTP oppure il protocollo IPSEC. Il router riesce a gestire fino a 8 connessioni contemporanee, 4 PPTP e 4 IPSEC. 3.7.1. VPN PPTP (POINT-TO-POINT TUNNELING PROTOCOL) Questo menu permette la creazione delle policy per il tunneling VPN basato su protocollo PPTP. Esistono due differenti tipi di connessione PPTP: Remote Access: permette la connessione alla LAN locale di un singolo client remoto connesso in Internet. LAN-to-LAN: permette la creazione di un tunnel VPN PPTP tra la LAN locale ed una rete LAN remota. Enable / Disabile: Name: Type: Status: tramite questa selezione è possibile attivare e disattivare le policy. Nome mnemonico della policy. Indica il tipo di policy, Dialin oppure DialOut indica lo stato attuale della connessione. Selezionate Create… per creare una nuova policy VPN PPTP. 3.17 Michelangelo Office Pro V ADSL2+ 3.7.2. Configurazione PPTP – REMOTE ACCESS Connection Name: Type: inserite il nome mnemonico da associare a questa policy, il nome non deve contenere spazi. Dial out: selezionate questo tipo di connessione se volete che sia il router ad attivare la connessione verso un server PPTP remoto raggiungibile in Internet. Nel campo Server IP Address inserite l’indirizzo IP del server remoto oppure il suo Hostname. Dial in: selezionate questa modalità se volete fornire l’accesso alla LAN ad un client remoto connesso in Internet. Nel campo Private IP Address.. inserite l’indirizzo IP di LAN che volete assegnare al client, una volta connesso. Username, Password: inserite username e password per il collegamento PPTP. Auth. Type: selezionate il tipo di autenticazione. Data Encryption: abilita l’algoritmo di cifratura MPPE. Di default il paramentro è impostato su Auto, quindi negoziato all’instaurarsi della connessione. Key Lenght: Imposta la lunghezza della Key utilizzata dall’algoritmo MPPE; se lasciato in Auto la Key viene negoziata all’instaurarsi della connessione. Mode: La Key viene cambiata ogni 256 pacchetti (stateful) oppure ad ogni pacchetto (stateless). Idle time: inserite il tempo di inattività dati per disconnettere il tunnel VPN PPTP; impostando 0 minuti la connessione rimarrà sempre attiva. Active as Default Route: attiva una default route alla connessione di questa policy. 3.7.3. PPTP – LAN TO LAN Tutti i parametri sono equivalenti a quelli descritti nella configurazione del Remote Access PPTP. Peer Network IP / Netmask: identifica la rete LAN remota o una parte della rete remota raggiungibile tramite la connessione PPTP. Esempio: Per indicare tutta la rete 192.168.2.x inserite: Peer Network IP: 192.168.2.0 Netmask: 255.255.255.0 3.18 Michelangelo Office Pro V ADSL2+ 3.7.4. Configurazione VPN IPSEC Questo menu permette la creazione delle policy per il tunneling VPN basato su protocollo IPSEC. Selezionate Create… per creare una nuova policy. Connection Name: Local inserite il nome mnemonico da associare a questa policy, il nome non deve contenere spazi. NetWork: identifica la rete LAN locale o la parte di essa che può utilizzare il tunnel VPN IPSEC. Single Address: singolo indirizzo IP locale Subnet: una rete LAN IP Range: un range d indirizzi IP locali (inizio – fine) Remote Secure Gateway Address: Indica l’end point, cioè l’indirizzo IP di WAN del router remoto. NetWork: identifica la rete LAN remota o una parte della rete remota raggiungibile tramite il tunnel VPN IPSEC. Single Address: singolo indirizzo IP remoto Subnet: una rete LAN remota IP Range: un range d indirizzi IP remoti (inizio – fine) Proposal In questa sezione dovete impostare i vari parametri di crittografia della connessione IPSEC. Verificate che tutti i paramentri impostati corrispondano esattamente a quelli configurati nel router remoto. AH Authentication: AH (Authentication Header) specifica l’algoritmo di crittografia da utilizzare per l’header VPN. ESP: ESP (Encapsulating Security Payload) provvede alla sicurezza dei dati (payload) inviati attraverso il tunnel VPN. ESP si divide in due parti Encryption ed Authentication per entrambe è possibile selezionare un algoritmo di crittografia differente. Perfect Forward Security: se abilitata forza un continuo cambio delle chiavi IPSEC durante la sessione, garantendo che le nuove chiavi non siano in alcun modo in relazione con le precedenti, evitando che dopo aver eventualmente scoperto una chiave, un malintenzionato sia in grado di generarsi tutte le successive. Pre-Shared Key: inserite la stringa utilizzata come password per generare la crittografia. Nota: Perfect Forward Security incrementa il grado di sicurezza ma richiede maggior elaborazione dei dati, a discapito delle prestazioni. 3.19 Michelangelo Office Pro V ADSL2+ 3.7.5. Configurazione ADVANCED OPTIONS Enable / Disabile: tramite questa selezione è possibile attivare e disattivare le policy. Cliccate su Edit e successivamente sul link Advanced Options… IKE Mode: IKE Proposal: Local Id: Remote Id: SA life time: Selezionate la modalità Main oppure Aggressive. Hash Function: selezionate il tipo di algoritmo da utilizzare. Encryption: selezionate il tipo di crittografia. Diffide-Hellman Group: Selezionate una delle modalità disponibili. Type: Default, viene utilizzato l’indirizzo Ip di WAN Domain Name, viene utilizzato un nome dominio inserito nel corrispondente campo Content per presentarsi al server remoto E-mail, viene utilizzato un indirizzo email inserito nel corrispondente campo Content per presentarsi al server remoto Type: Default, viene utilizzato l’indirizzo Ip di WAN Domain Name, viene utilizzato un nome dominio inserito nel corrispondente campo Identifier per riconoscere il server remoto E-mail, viene utilizzato un indirizzo email inserito nel corrispondente campo Identifier per riconoscere il server remoto Rappresenta il tempo di validità delle chiavi autogenerate. Phase 1 (IKE): Inserite un valore tra 5 e 15000 minuti, il default è 240. Phase 2 (IPSec): Inserite un valore tra 5 e 15000 minuti, il default è 60. Un valore basso di SA aumenta la sicurezza del tunnel ma, ad ogni rinegoziazione delle chiavi il tunnel viene temporaneamente disconnesso. 3.20 Michelangelo Office Pro V ADSL2+ Ping fo Keepalive: 3.7.6. Configurazione PING to the IP: inserite l’indirizzo Ip da pingare per verificare la qualità del tunnel VPN, se l’IP indicato NON risponde il tunnel viene chiuso. Inserendo 0.0.0.0 questa funzione viene disabilitata. Interval: inserite il numero di secondi tra un test di keepalive ed il seguente. Il valore di default è 10 ma può essere variato tra 1 e 3600 mentre 0 disabilita la funzione. Disconnection Time after no traffic: chiusura automatica del tunnel VPN a fronte di inattività superiore a x secondi. Reconnection Time: tempo minimo di attesa prima di rieffettuare una connessione Vpn IPSec. Il tempo minimo è di 3 minuti. L2TP Questo menù permette la creazione delle policy per il tunneling VPN basate sul protocollo L2TP. Esistono due differenti tipi di connessione L2TP: Remote Access: permette la connessione alla LAN locale di un singolo client remoto connesso in Internet. LAN-to-LAN: permette la creazione di un tunnel VPN PPTP tra la LAN locale ed una rete LAN remota. Enable / Disabile: Name: Type: Status: tramite questa selezione è possibile attivare e disattivare le policy. Nome mnemonico della policy. Indica il tipo di policy, Dialin oppure DialOut indica lo stato attuale della connessione. Selezionate Create… per creare una nuova policy VPN L2TP 3.21 Michelangelo Office Pro V ADSL2+ 3.7.7. Configurazione L2TP - REMOTE ACCESS Connection Name: Type: inserite il nome mnemonico da associare a questa policy, il nome non deve contenere spazi. Dial out: selezionate questo tipo di connessione se volete che sia il router ad attivare la connessione verso un server L2TP remoto raggiungibile in Internet. Nel campo Server IP Address inserite l’indirizzo IP del server remoto oppure il suo Hostname. Dial in: selezionate questa modalità se volete fornire l’accesso alla LAN ad un client remoto connesso in Internet. Nel campo Private IP Address.. inserite l’indirizzo IP di LAN che volete assegnare al client, una volta connesso. Username, Password: inserite username e password per il collegamento L2TP. Auth. Type: selezionate il tipo di autenticazione. Idle time: inserite il tempo di inattività dati per disconnettere il tunnel VPN L2TP; impostando 0 minuti la connessione rimarrà sempre attiva. IP Sec: Se abilitato viene utilizzata la crittografia IPSec. Authentication: Selezionate l’algoritmo di crittografia per la fase di autenticazione IpSec. Encryption: Selezionate l’agoritmo di crittografia d utilizzare per i dati Perfect Forward Secrecy: se abilitata forza un continuo cambio delle chiavi IPSEC durante la sessione, garantendo che le nuove chiavi non siano in alcun modo in relazione con le precedenti, evitando che dopo aver eventualmente scoperto una chiave, un malintenzionato sia in grado di generarsi tutte le successive. Pre-Shared Key: inserite la stringa utilizzata come password per generare la crittografia. Per migliorare la sicurezza del tunnel è possibile abilitare anche il parametro Tunnel Authentication. In questo caso Remote Host Name dovrà corrispondere al parametro Local Host Name sul router remoto e viceversa. In Secret inserite una password di max 16 caratteri. 3.22 Michelangelo Office Pro V ADSL2+ 3.7.8. Configurazione L2TP - LAN TO LAN Tutti i parametri sono equivalenti a quelli descritti nella configurazione del Remote Access L2TP. Peer Network IP / Netmask: identifica la rete LAN remota o una parte della rete remota raggiungibile tramite la connessione L2TP. Esempio: Per indicare tutta la rete 192.168.2.x inserite: Peer Network IP: 192.168.2.0 Netmask: 255.255.255.0 3.23 Michelangelo Office Pro V ADSL2+ 3.8. Configurazione CONFIGURATION – QOS La funzione QoS (Quality of Service) permette di migliorare l’allocazione di banda per le applicazioni maggiormente utilizzate. Le applicazioni VoIp per esempio necessitano di una banda minima per garantire una qualità sufficiente, tramite queste funzioni è possibile garantire un servizio efficiente anche in presenza di altri utilizzi di banda (navigazione, download / upload di grossi file, etc…) 3.8.1. PRIORITIZATION Tramite questa sezione è possibile aumentare o diminuire la priorità di alcune sessioni nella coda di uscita sulla Wan del router. Esistono tre livelli di priorità che ripartiscono la banda disponibile: - High 60% - Normal 30% (tutti i pacchetti hanno questa priorità al default) - Low 10% Application: Time Schedule: Priority: Protocol: inserite un nome mnemonico per l’applicazione. Selezionate il periodo di validità della regola, sempre attiva (Always On), schedulata (TimeSlot1~16), oppure inserita in lista ma disattivata (Disabled) Selezionate High o Low per aumentare o diminuire la priorità. Selezionate il tipo di protocollo utilizzato nell’applicazione Source Port: Destination Port: inserite le porte sorgenti utilizzate dall’applicazione da priorizzare inserite le porte di destinazione utilizzate dall’applicazione da priorizzare Source IP Address: inserite il gruppo di indirizzi IP sorgenti utilizzati nell’applicazione da priorizzare Destination IP Address: inserite il gruppo di indirizzi IP di destinazione utilizzati nell’applicazione da priorizzare DSCP Marking: imposta anche i parametri di ToS secondo la tabella disponibile nell’appendice. 3.24 Michelangelo Office Pro V ADSL2+ 3.8.2. Configurazione OUTBOUND IP THROTTLING Tramite queste impostazioni è possibile definire una BANDA MASSIMA utilizzabile da un’applicazione in uscita LAN -> WAN. Application: Time Schedule: inserite un nome mnemonico per l’applicazione. Selezionate il periodo di validità della regola, sempre attiva (Always On), schedulata (TimeSlot1~16), oppure inserita in lista ma disattivata (Disabled) Protocol: Selezionate il tipo di protocollo utilizzato nell’applicazione Source Port: inserite le porte sorgenti utilizzate dall’applicazione da priorizzare Destination Port: inserite le porte di destinazione utilizzate dall’applicazione da priorizzare Source IP Address: inserite il gruppo di indirizzi IP sorgenti utilizzati nell’applicazione da priorizzare Destination IP Address: inserite il gruppo di indirizzi IP di destinazione utilizzati nell’applicazione da priorizzare Upstream Rate Limit: Inserite il limite massimo di banda utilizzabile dall’applicazione, il valore deve essere espresso in moltiplicatori di 32 kbps 3.8.3. INBOUND IP THROTTLING Tramite queste impostazioni è possibile definire una BANDA MASSIMA utilizzabile da un’applicazione in ingresso WAN -> LAN. Application: Time Schedule: inserite un nome mnemonico per l’applicazione. Selezionate il periodo di validità della regola, sempre attiva (Always On), schedulata (TimeSlot1~16), oppure inserita in lista ma disattivata (Disabled) Protocol: Selezionate il tipo di protocollo utilizzato nell’applicazione Source Port: inserite le porte sorgenti utilizzate dall’applicazione da priorizzare Destination Port: inserite le porte di destinazione utilizzate dall’applicazione da priorizzare Source IP Address: inserite il gruppo di indirizzi IP sorgenti utilizzati nell’applicazione da priorizzare Destination IP Address: inserite il gruppo di indirizzi IP di destinazione utilizzati nell’applicazione da priorizzare Upstream Rate Limit: Inserite il limite massimo di banda utilizzabile dall’applicazione, il valore deve essere espresso in moltiplicatori di 32 kbps 3.25 Michelangelo Office Pro V ADSL2+ 3.9. Configurazione CONFIGURATION – VIRTUAL SERVER La funzione Virtual Server permette l’accesso a Server e servizi presenti nella LAN locale, da parte di utenti remoti connessi in Internet. I servizi selezionati verranno resi disponibili sull’indirizzo IP di WAN del router. Normalmente questi Server NON sono raggiungibili da Internet perché: 1. Il Server ha un indirizzo IP privato 2. Il protocollo NAT nasconde la LAN interna. In questa finestra è possibile configurare tre differenti tipi di Virtual Server: Add Virtual Server: Edit DMZ Host: Edit One-to-One NAT: 3.9.1. permette l’inserimento di un singolo Virtual Server. permette di definire un virtual server esteso, tutte le porte NON inserite in altre regole di Virtual Server verranno indirizzate sull’indirizzo IP inserito nella funzione DMZ (De-militarized Zone). Il nome di questa sezione indica che la zona è NON controllata pertanto la macchina con indirizzo IP DMZ non è protetta dal firewall. permette la definizione di un gruppo di indirizzi IP aggiuntivi sulla WAN, tali indirizzi IP possono quindi essere associati ad altrettanti indirizzi IP privati interni alla LAN (ex. Server Web e Server di posta). ADD VIRTUAL SERVER Time Schedule: Application: Protocol: External Port: Redirect Port: Internal IP Address: Selezionate il periodo di validità della regola, sempre attiva (Always On), schedulata (TimeSlot1~16), oppure inserita in lista ma disattivata (Disabled) Inserite il nome mnemonico dell’applicazione che la regola andrà a gestire, ciccando sul link Helper è possibile selezionare uno dei protocollo più comunemente utilizzati per effettuare una rapida configurazione. selezionate il tipo di protocollo. Selezionate il range di porte che l’applicazione utilizza. Inserite il range di porte che verranno utilizzate dall’Ip privato per gestire l’applicazione. (solitamente External Port e Redirect Port sono uguali). inserite qui l’indirizzo IP della macchina che utilizza l’applicazione configurata. Cliccate il link Candidates per visualizzare l’elenco delle macchine collegate in rete (già scoperte dal dispositivo). 3.26 Michelangelo Office Pro V ADSL2+ 3.9.2. Configurazione EDIT DMZ HOST Selezionate Enable per attivare questa funzionalità. Internal IP Address: inserite qui l’indirizzo IP della macchina che verrà posta in “DMZ”. Cliccate il link Candidates per visualizzare l’elenco delle macchine collegate in rete (già scoperte dal dispositivo). 3.9.3. EDIT ONE-TO-ONE NAT Se il vostro abbonamento Adsl prevede l’utilizzo di più indirizzi IP aggiuntivi potete mantenere la navigazione delle macchine tramite NAT, mentre i vostri Server potranno essere raggiungibili da Internet sfruttando i vostri indirizzi Pubblici. NAT Type: Global IP Address: Selezionate il tipo di NAT desiderato. La posizione di Default Disabile disabilita la funzione One-to-One NAT. Subnet: la subnet degli indirizzi IP aggiuntivi viene solitamente indicata dal vostro provider. In caso contrario utilizzate il metodo seguente. IP Range: inserite il Range di indirizzi IP inserendo l’indirizzo IP di inizio e di fine del gruppo. Per configurare un associazione 1 ad 1 cliccate sul link Add Entry-> Time Schedule: Application: Protocol: Global IP: External Port: Redirect Port: Internal IP Address: Selezionate il periodo di validità della regola, sempre attiva (Always On), schedulata (TimeSlot1~16), oppure inserita in lista ma disattivata (Disabled) Inserite il nome mnemonico dell’applicazione che la regola andrà a gestire, ciccando sul link Helper è possibile selezionare uno dei protocollo più comunemente utilizzati per effettuare una rapida configurazione. selezionate il tipo di protocollo. Inserite l’indirizzo aggiuntivo da utilizzare in quest’applicazione. Selezionate il range di porte che l’applicazione utilizza. Inserite il range di porte che verranno utilizzate dall’Ip privato per gestire l’applicazione. (solitamente External Port e Redirect Port sono uguali). inserite qui l’indirizzo IP della macchina che utilizza l’applicazione configurata. Cliccate il link Candidates per visualizzare l’elenco delle macchine collegate in rete (già scoperte dal dispositivo). 3.27 Michelangelo Office Pro V ADSL2+ Configurazione 3.10. CONFIGURATION – TIME SCHEDULE Tutte le funzione principali del router possono avere validità in base ai giorni / orari della settimana, è possibile creare fino a 16 differenti gruppi di giorni e orari. In questa finestra viene mostrato un riepilogo dei gruppi configurati, al default tutti i 16 gruppi sono configurati in questo modo: dal Lunedì (Monday) al Venerdì (Friday) e dalle 08:00 alle 18:00. Day in a week: la settimana parte domenica (sunday) e termina sabato (saturday), l’inziale del giorni con lettere maiuscola indica che il giorno è compreso nel gruppo. Cliccate sul link Edit per modificare uno dei 16 slot. Name: Day: Start Time / End Time: inserite il nome mnemonico del gruppo che volete creare. selezionate i giorni di validità della regola inserite gli orari di vanità della regola, da Start ad End. 3.28 Michelangelo Office Pro V ADSL2+ Configurazione 3.11. CONFIGURATION – ADVANCED Questo menu permette di impostare alcuni parametri e funzioni avanzate. 3.11.1. STATIC ROUTE Se Michelangelo Office Pro V non è l’unico router presente nella rete LAN potrebbe essere necessario creare delle route statiche (regole di instradamento) per indirizzare i pacchetti verso le altre reti (e altri Gateway). 3.11.2. DYNAMIC DNS La maggior parte degli abbonamenti Adsl utilizzano un indirizzo IP dinamico, pertanto l’indirizzo di WAN del router può cambiare ad ogni connessione. Per risolvere questo problema sono disponibili in Internet dei servizi denominati Dynamic DNS (DDNS). Questi servizi DDNS permettono di associare un nome di dominio ad un indirizzo IP in modo dinamico, dopo aver effettuato una registrazione gratuita oppure a pagamento. Dynamic DNS: Selezionate Enable per abilitare il servizio. Selezionate il vostro server del servizio da Dynamic DNS ed inserite i dati del vostro account. In Period selezionate ogni quanti giorni volete effettuare un aggiornamento dell’indirizzo. Ogni qualvolta il router rileva un nuovo indirizzo IP sulla WAN, effettua automaticamente una nuova registrazione al server DDNS (nell’esempio www.dyndns.org) impostato, aggiornando così l’indirizzo IP di WAN corrente. Un host, o altro router, che da internet faccia riferimento al dominio attivato, otterrà come risultato l’indirizzo IP attuale, e potrà così raggiungere i servizi eventualmente messi a disposizione sulla porta WAN (tramite Virtual Server). 3.11.3. CHECK EMAILS Michelangelo Office Pro V è in grado di controllare periodicamente un account di posta e di indicare con l’apposito led sul frontale la presenza di e-mail nella casella di posta. 3.29 Michelangelo Office Pro V ADSL2+ Configurazione 3.11.4. DEVICE MANAGEMENT In questa finestra è possibile modificare le proprietà del Web Server interno per la configurazione dell’hardware. Host Name: Inserite l’Host name da associare al router. HTTP Port: permette la modifica della porta sulla quale è attivo il Web Server. Se modificate la porta, inserite un valore superiore a 1024. Per entrare in configurazione del router è quindi necessario collegarsi alla porta scelta; se impostate la porta 8080, nel browser dovrete scrivere http://192.168.1.254:8080. Selezionate sempre la porta 80 (HTTP) oppure in alternativa una porta superiore a 1024. Management IP Address: lasciate impostato 0.0.0.0 se volete permettere la configurazione del router da un qualsiasi indirizzo IP di LAN. In alternativa potete limitare l’accesso alla configurazione ad un solo indirizzo IP, inserendone il valore . Expire to auto-logout: nella configurazione del dispositivo può accedere un solo utente alla volta. Se l’utente non effettua il logout, cliccando sull’apposito pulsante, mantiene impegnata la sessione di configurazione impedendo l’accesso ad altri utenti. Per ovviare a questo problema è possibile impostare un logout automatico allo scadere di n secondi di inattività. Universal Plug and Play (UPnP) UPnP: Abilitate la configurazione tramite il protocollo UPnP selezionando Enable sulla porta UPnP Port. SNMP Access Control Michelangelo Office Pro V supporta il protocollo SNMP. E’ possibile configurare la password di accesso alle tre Community e l’indirizzo IP abilitato ad accedere (0.0.0.0 per permettere l’accesso da tutti gli indirizzi). Al default la password per la Read Community è public, per la Write Community è password e la Trap Community è disabilitata. 3.11.5. IGMP IGMP Forwardin: IGMP Snooping: Se abilitato permette la gestione dei pacchetti Multicast. Se abilitato permette allo switch di bloccare l’invio dei pacchetti multicast sulle porte ove non ne rileva un utilizzo. 3.30 Michelangelo Office Pro V ADSL2+ Configurazione 3.12. STATUS Il menù Status mostra un riepilogo della configurazione del router. In particolare: Software Version è la versione Firmware caricata nel dispositivo LAN e WAN riepilogano le configurazioni di LAN e WAN. 3.12.1. STATUS – ARP TABLE In questa finestra è possibile controllare gli indirizzi IP e i MAC Address di tutte le macchine che sono entrate in contatto con il Router. 3.12.2. STATUS – DHCP TABLE Questa finestra mostra tutti gli indirizzi IP che sono stati assegnati via DHCP Server in associazione al MAC Address e al nome della scheda di rete che ha richiesto l’indirizzo. Expiry rappresenta il tempo di validità dell’indirizzo. 3.12.3. STATUS – PPTP STATUS, IPSEC STATUS, L2TP STATUS Questa due finestre mostrano un riassunto delle eventuali connessioni PPTP o IPSEC configurate e ne visualizzano lo stato. 3.12.4. STATUS – EMAIL STATUS In questa finestra è possibile verificare il numero di Email che il router ha rilevato sulla casella di posta da controllare. Reset Status: azzera il contatore (e quindi spegne anche il led MAIL) Check Now ! forza un controllo del numero di Email nella casella di posta configurata. 3.12.5. STATUS – EVENT LOG, ERROR LOG Queste finestra mostrano i Log di sistema. Se abilitate i log nella configurazione del firewall, verranno tutti riportati nella pagina Event Log. 3.31 Michelangelo Office Pro V ADSL2+ Appendice A. APPENDICE A.1. PORTE TCP/UDP MAGGIORMENTE UTILIZZATE A.1 Michelangelo Office Pro V ADSL2+ Appendice A.2. PACKET FILTER – DEFAULT CONFIGURATION Applicazione Protocollo HTTP DNS DNS FTP Telnet SMTP POP3 NEWS Real Audio / Real Video PING H.323 T.120 SSH NTP HTTPS ICQ TCP(6) UDP(17) TCP(6) TCP(6) TCP(6) TCP(6) TCP(6) TCP(6) UDP(17) ICMP(1) TCP(6) TCP(6) TCP(6) UDP(17) TCP(6) TCP(6) Porta n° Start End 80 80 53 53 53 53 21 21 23 23 25 25 110 110 119 119 7070 7070 1720 1503 22 123 443 5190 1720 1503 22 123 443 5190 Firewall - High Inbound Outbound NO YES NO YES NO YES NO NO NO NO NO YES NO YES NO NO NO NO NO NO NO NO NO NO NO NO YES NO NO NO NO A.3. TOS BIT CONFIGURATION Router Disabled Best Effort Premium Gold service (L) Gold service (M) Gold service (H) Silver service (L) Silver service (M) Silver service (H) Bronze service (L) Bronze service (M) Bronze service (H) A.2 DSCP Mapping Table Standard DSCP None Best Effort Express Forwarding Class 1, Gold Class 1, Silver Class 1, Bronze Class 2, Gold Class 2, Silver Class 2, Bronze Class 3, Gold Class 3, Silver Class 3, Bronze ToS Bit No ToS 000000 101110 001010 001100 001110 010010 010100 010110 011010 011100 011110 Firewall - Medium Firewall - Low Inbound Outbound Inbound Outbound NO YES NO YES NO YES YES YES NO YES YES YES NO YES NO YES NO YES NO YES NO YES NO YES NO YES NO YES NO YES NO YES YES YES YES YES NO YES NO YES NO YES YES YES NO YES YES YES NO YES YES YES NO YES NO YES NO YES NO YES NO NO YES YES Michelangelo Office Pro V ADSL2+ Appendice A.4. ELENCO SERVER DNS Gli indirizzi riportati in questa pagina hanno lo scopo di aiutare nella configurazione del router, qualora questi dati non siano stati specificati dal provider. La gestione di questi indirizzi dipende solo dai rispettivi provider, pertanto non è possibile garantirne la funzionalità nel tempo. A.3 Michelangelo Office Pro V ADSL2+ A.4 Appendice Michelangelo Office Pro V ADSL2+ Appendice A.5. ACCESSO DA REMOTO CON VPN PPTP VPN PPTP -> 192.168.1.200 LAN 1 192.168.1.0/24 INTERNET Accesso Remoto 2.2.2.200 WAN 1 1.1.1.100 VPN IPSEC Da una qualsiasi postazione remota connessa in Internet, è possibile accedere alla rete locale LAN1 utilizzando la connessione VPN PPTP fornita da Windows®. Michelangelo Office Pro V deve essere configurato nel seguente modo: Con questa configurazione si abilita un host remoto ad accedere direttamente alla nostra LAN, l’host remoto riceverà un indirizzo IP da noi specificato (in questo caso 192.168.1.200). La configurazione di windows deve essere effettuata nel seguente modo. Create una Connessione alla rete aziendale A.5 Michelangelo Office Pro V ADSL2+ Selezionate il tipo Connessione VPN Inserite l’indirizzo IP di WAN del router Michelangelo Office Pro V . Attivate la vostra connessione Internet classica e eseguite la connessione appena creata: A.6 Appendice Michelangelo Office Pro V ADSL2+ Appendice Al termine della connessione, potrete accedere a tutte le risorse disponibili nella rete LAN 1. A.6. CONNESSIONE IPSEC PRO-V E FIREGATE Michelangelo Office PRO V LAN1 INTERNET FireGate LAN2 WAN 1 1.1.1.100 WAN 2 2.2.2.200 In questo esempio viene creato un tunnel VPN tra una rete LAN 1 ed una rete LAN 2 attraverso Internet, utilizzando la crittografia IPSEC. La rete LAN 1 utilizza un Router Michelangelo Office Pro-V ADSL2+. La rete LAN 2 utilizza un dispositivo VPN in grado di gestire le connessioni IPSEC con Pre-Shared Key, come il Firewall Firegate 10C. A.7 Michelangelo Office Pro V ADSL2+ Appendice La configurazione del Michelangelo è la seguente: Il tunnel VPN realizzato permette il passaggio di pacchetti dalla LAN 1 alla LAN 2, pertanto: Local Network: tutta la Subnet con Ip Address 192.168.1.0 con Netmask 255.255.255.0, cioè tutti gli indirizzi compresi tra 192.168.1.1 e 192.168.1.254 Remote Network: tutta la Subnet con Ip Address 192.168.0.0 con Netmask 255.255.255.0, cioè tutti gli indirizzi compresi tra 192.168.0.1 e 192.168.0.254 L’indirizzo di Secure Gateway Address è 2.2.2.200 cioè l’indirizzo pubblico assegnato alla WAN del Firegate 10C. Per la protezione dei pacchetti viene impostato ESP. Autenticazione crittografata con algoritmo MD5. Pacchetti crittografati con algoritmo DES. Pre-shared Key: una password a nostra scelta (uguale in entrambi i dispositivi). Dopo aver applicato la configurazione cliccando su Apply disabilitate la Vpn creata per poterla editare. Cliccando sul link Advanced Options si accede alla successiva pagina di configurazione: A.8 Michelangelo Office Pro V ADSL2+ Appendice La configurazione del Firegate 10C è la seguente: Remote VPN EndPoint è l’indirizzo 1.1.1.100, cioè l’indirizzo IP pubblico assegnato alla WAN del Michelangelo Office Pro-V ADSL2. Le rete locale e remota vengono definite sulla base della subnet come nella configurazione precedente. La crittografia è impostata per utilizzare gli stessi algoritmi impostato sul Michelangelo. Firegate 10C offre la possibilità di impostare dei parametri aggiuntivi che verranno comunque negoziati in automatico con il Michelangelo. Nel caso in cui utilizzate il Michelangelo Office PRO-V ADSL2 con il firewall attivo, è necessario aprire, tramite il menù Packet Filter la porta 500 in UDP e il protocollo RAW IP 50. A.9
advertisement
* Your assessment is very important for improving the workof artificial intelligence, which forms the content of this project
Key Features
- ADSL
- Web-based management
- DHCP client DHCP server