Af Jakob Paikin. Sidst opdateret den 01.09.2002.
Denne FAQ er ikke udarbejdet af Tiscali/World Online (omend med velvillig hjælp herfra), men kan forhåbentlig give nye og kommende ADSL-brugere svar på deres spørgsmål.
Se også Tiscali officielle FAQ på adressen www.tiscali.dk/help/adsl/faq/.
BEMÆRK: Anvendelse af rådene i denne FAQ sker fuldt ud på brugerens eget ansvar! Fejlagtig programmering af routeren kan medføre, at der ikke kan kommunikeres med denne eller at Internet-forbindelsen ophører med at virke korrekt. Hverken World Online eller forfatteren til denne FAQ kan drages til ansvar for sådanne situationer. Det kan være forbundet med betaling at få sådanne problemer rettet af World Online.
Jeg kan af tidsmæssige grunde ikke yde individuel bistand med opsætning af router eller lignende. Konkrete spørgsmål henvises til enten Tiscalis support eller til nyhedsgruppen worldonline.dk.adsl.teknik.
OBS: Bruger du en Cisco SOHO 77-router i stedet for Cisco 677, kan router-kommandoerne i denne FAQ ikke bruges! Se i stedet http://coder.dk/sohofaq.php.
Generelt:
Dato for sidste rettelse angive i parantes.
Om oprettelse, ledninger, stik og hardware
Om netværk
Om indstilling/programmering af routeren (Cisco 677)
?: Skal jeg gøre noget særligt ved min PC for at bruge ADSL?
!: Nej. PC'en skal blot have et almindeligt netværks-kort til ethernet og med RJ-45 stik.
?: Skal der instal-leres speciel software på min PC?
!: Nej. PC’en skal blot have protokollen TCP/IP installeret - det er formentlig allerede tilfældet, da den samme protokol anvendes ved opkaldsforbindelser til Inter-net.
?: Kan jeg bruge min eksisterende telefon/ISDN-linje?
!: Nej. Der skal oprettes en særskilt forbindelse til ADSL-opkoblingen.
?: Koster det noget at få oprettet den ekstra linje til ADSL-forbindelsen?
!: Ikke ud over den eventuelle oprettelsesafgift som World Online opkræver. I øjeblikket er der ingen oprettelsesafgift på 256 og 512 kbps-linjer men kun på 2048 kbps-linjer. Men der skal i intet tilfælde betales til andre end World Online. Således får du ingen regning fra Tele Danmark for oprettelse af en ADSL-linje hos World Online.
?: Hvor kommer ADSL-stikket til at sidde?
!: Som udgangspunkt kan du frit vælge placeringen - fortæl det blot til den tekniker der kommer. Tele Danmarks tekniker kan dog afvise en placering, hvis det vil være uforholdsmæssigt besværligt at opfylde ønsket. Hvis dit telefonstik (og/eller den dåse hvor telefon-ledningen kommer ind i huset/lejligheden) er vanskeligt tilgængelig, bør du gøre lidt plads omkring disse steder. Dette skyldes at Tele Danmarks tekniker kan få behov for adgang til disse installatio-ner.
?: Koster det noget i abonnement til Tele Danmark?
!: Nej. Du skal kun betale til World Online.
?: Kan jeg ned-lægge min almindelige telefonlinje for at sikre mig, at der er rå kobber?
!: Den almindelige linje kan frit nedlægges, men det giver ikke 100% sikkerhed for rå kobber. Dels skal der være kobber nok til at Tele Danmark kan etablere en normal telefonlinje (da Tele Danmark har forsyningspligt på disse linjer). Dels afhænger tilgængeligheden af rå kobber også af forbindelserne fra centralen til din bo-pæl. Derimod kan du overdrage din eksisterende telefonlinje til World Online. Dermed bliver World Online "ejer" af linjen og kan bruge den til ADSL. Det betyder dog samtidig, at du skal nedlægge din fastnettelefon (og evt. nøjes med en mobiltelefon). Kontakt World Online for oplysning om fremgangsmåden.
?: Hvordan kan jeg nemt finde ud af, om der er rå kobber ledig?
!: Det kan man ikke. Den eneste mulighed er at be-stille linjen og afvente den officielle undersøgelse hos Tele Danmark.
?: Kan "telefon-ledningen" til ADSL-routeren forlænges?
!: Som udgangspunkt bør det ikke give problemer. Brug blot en almindelig forlængerledning til telefoner. Hvis det giver problemer, så overvej at forlænge netværkskablet i stedet for.
?: Hvad sker der, hvis en telefon tilsluttes ADSL-stikket?
!: Telefonen vil ikke virke, men der sker ingen skade.
?: Kan jeg bruge en anden router end den fra World Online?
!: Nej. Det er ikke tilladt og kan medføre, at ADSL-forbindelsen lukkes af World Online. Dette har at gøre med de tekniske godkendelser fra Tele Danmark.
?: Er der data-kompression på ADSL?
!: Nej. Det understøttes ikke af det anvendte udstyr.
?: Jeg har fået at vide, at der ikke er rå kobber. Hvad kan jeg så gøre?
!: World Online har oplyst, at de på et tidspunkt vil tilbyde såkaldte galvaniske forbindelser, som Tele Danmark har forsyningspligt på (dvs. Tele Danmark må om nødvendigt grave nye ledninger ned). Pris, hastighed og tidshorisont er p.t. ukendt. En anden mulighed er at overdrage din eksisterende telefonlinje til World Online. Dermed bliver World Online "ejer" af linjen og kan bruge den til ADSL. Det betyder dog samtidig, at du skal ned-lægge din fastnettelefon (og evt. nøjes med en mobiltelefon). Kontakt World Online for oplysning om fremgangsmåden. Endelig kan du overveje Tele Danmarks ADSL-løsning kaldet NetExpress. Der "deles" en eksiste-rende linje mellem telfoni og ADSL.
?: Hvorfor kan World Onlines ADSL-forbindelse ikke bruge en eksisterende linje når Tele Danmarks NetExpress kan?
!: Af forskellige grunde ønsker de forskellige teleselskaber (konkret World Online og Tele Danmark) ikke i øjeblikket at deles om en linje.
?: Hvor hurtigt kan jeg regne med at downloade på en ADSL-linje?
!: Det er umuligt at angive faste hastigheder, da hastigheden afhænger af et utal af faktorer (belastning på linjen, den fremmede servers hastighed m.v.). De efterfølgende tal skal derfor alene ses som omtrentlige tal. På de tidligere tilgængelige 128 kbps-linjer kunne hastigheden nå 13 KB/s. På en 256 kbps-linje kan hastigheden nå 25 KB/s. På en 512 kbps-linje kan hastigheden nå 55 KB/s. På en 2048 kbps-linje kan hastigheden nå om-kring 195 KB/s (i nogle tilfælde højere).
?: Hvilke ping-tider kan jeg regne med på en ADSL-linje?
!: På en såvel 256 kbps som 512 kbps-linje er meldt om ca. 30-40 ms. På en 2048 kbps-linje er meldt om 20-30 ms. Ligesom hvad angår downloadshastig-hed skal disse tal tages med et stort forbehold, da utallige omstændigheder der påvirker ping-tiden.
?: Jeg har tilslut-tet routeren, men WAN-lampen blinker hele tiden
!: Hvis WAN-lampen blinker konstant betyder det, at der er problemer med forbindelsen til World Onlines udstyr på telefoncentralen. Prøv i første omgang at udskifte ledningen og stikket der går fra routeren til ADSL-stikket på væg-gen. Hvis det ikke hjælper, må du kontakte World Online for at få undersøgt problemet nærmere.
?: Er routeren og forbindelsen klar til brug når jeg får den, eller skal der sættes en masse op først?
!: Ja! Du skal blot følge den vejledning, som du modtager sammen med routeren for at aktivere din forbindelse. Ty-pisk tager der under 10 minutter fra routeren er pakket ud og til forbindelsen er klar til brug. Selvom denne FAQ indeholder mange punkter og beskriver mange opsætningsmuligheder, er der kun tale om ekstra funktioner og muligheder for at fin-justere opsætningen. Intet af det er nødven-digt for at bruge forbindelsen.
?: Kan jeg konfi-gurere min router før ADSL-stikket er sat op?
!: Nej. Routeren kan først programme-res/konfigureres, når den er aktiveret som beskrevet i World Onlines medfølgende vejledning. Akti-vering kan først foretages, når stikket er sat op og routeren tilsluttet.
?: Kan jeg vælge mellem routing og bridging?
!: Nej. World Onlines løsning understøtter kun routing. Det leverede hardware (Cisco 677) understøtter en bridge-funktion, men da dette ikke er aktiveret på World Onlines central-udstyr, kan man ikke som bruger aktivere muligheden. Forsøg det ikke - forbindelsen vil ikke virke.
?: Jeg har to PC’er, der er forbundet med hin-anden med et krydset kabel - hvad så?
!: Det gælder helt generelt, at hvis mere end een PC skal bru-ge ADSL-linjen skal der anskaffes en hub (eller en switch). Alle PC’erne og routeren tilsluttes så hub’en/switch’en. Tilslutningen skal ske med almindelige (ikke-krydsede) netværkskabler.
?: Jeg bruger allerede DHCP på mit netværk - hvad med routeren?
!: Routeren er ved levering fra WOL indstillet til at fungere som DHCP-server. For at slå denne funktion fra bruges følgende kommando: SET DHCP SERVER DISABLED
?: Der er flere PC’er på mit netværk, men kun en (eller nogle få) må kunne bruge Internet via route-ren.
!: Der er to løsninger: a) Tilslut routeren direkte til den pågældende PC med et krydset netkabel (og et ekstra netværks-kort). b) Opsæt et filter, så kun data fra den/de pågældende PC’er accepteres. Brug følgende kommando-er: SET FILTER 0 ON ALLOW ETH0 192.168.5.5 255.255.255.255 0.0.0.0 0.0.0.0 SET FILTER 1 ON DENY ETH0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Dermed tillades al trafik fra 192.168.5.5, mens al anden trafik, der kommer ind på routeren via LAN-stikket (eth0), afvises. Hvis du har firmware 2.3.0 eller 2.3.5 skal du huske at sætte nogle "tillad alt"-filtre op. Se spørgs-målet Når jeg aktiverer bare et enkelt filter, hænger routeren helt! [Tak til Jens Fallesen for denne opskrift]. Skal flere PC’er have adgang kan dette eventuelt klares med passende netmasker i stedet for 255.255.255.255 - det kræve dog, at du ved hvordan netmasker beregnes og hvilke adresser du dermed får åbnet hhv. lukket for.
?: Jeg kan ikke komme ind i web-konfigurationen med mit brugernavn og password!
!: Brug brugernavnet "enable" i stedet. Passwordet er det, der fremgår af brevet fra World Online. Hjælper det ikke, så sørg for at du ikke har en proxy-server defineret i din browser. Hvis du har, vil din browser forsøge at kontakte routeren via proxy-serveren - og det virker ikke.
?: Jeg kan hverken komme til at konfigurere routeren via Telnet eller via web-interfacet?
!: Passwordet i brevet fra World Online virker først, når routeren er blevet aktiveret som beskrevet i det medføl-gende brev fra World Online.
?: Hvordan sikrer jeg, at fremmede ikke kan konfigurere min router?
!: For at ændre konfigurationen kræves kendskab til passwordet, så risikoen er begrænset. For at få yderligere sikkerhed kan en af nedenstående metoder benyttes: a) At sætte parametrene for hhv. web og Telnet i routeren således, at disse funktioner kun kan akti-veres fra een bestemt IP-adresse (på det lokale net). Dette indstilles med disse kommandoer: SET WEB REMOTE 192.168.5.5 SET TELNET REMOTE 192.168.5.5 Ovenstående betyder, at telnet- og web-konfiguration kun kan ske fra PC’en med IP-adresse 192.168.5.5 b) At fjerne muligheden for administration via Telnet og/eller web. Dermed vil administration kun kunne ske via en seriel forbindelse til routeren. Til dette anvendes kommandoen: SET TELNET DISABLE SET WEB DISABLE Denne løsning er dog kun praktisk, hvis routeren står tæt ved den PC, der anvendes til administrati-on. c) Hvis løsning a eller b ikke er praktiske (f.eks. fordi PC’ernes IP-adresse tildeles dynamisk eller hvis routeren står langt fra en PC), skal der i stedet opsættes to filtre på WAN-siden. Filtrene sættes på WAN-siden for at få de uønskede data sorteret væk "inden routeren". De to filtre sættes med disse kommandoer: SET FILTER 2 ON DENY WAN0-0 0.0.0.0 0.0.0.0 192.168.1.1 255.255.255.255 PORT 23 SET FILTER 3 ON DENY WAN0-0 0.0.0.0 0.0.0.0 192.168.1.1 255.255.255.255 PORT 80 Har din router en nyere firmware end 2.2.0 anvendes disse kommandoer i stedet: SET FILTER 2 ON DENY INCOMING WAN0-0 0.0.0.0 0.0.0.0 192.168.1.1 255.255.255.255 PROTOCOL TCP SRCPORT 1-65535 DESTPORT 23-23 SET FILTER 3 ON DENY INCOMING WAN0-0 0.0.0.0 0.0.0.0 192.168.1.1 255.255.255.255 PROTOCOL TCP SRCPORT 1-65535 DESTPORT 80-80 Filter 2 begrænser telnet-trafik (port 23), mens filter 3 begrænser web-trafik (port 80). Yderligere kan anbefales et filter, der forhindrer TFTP-sessioner udefra (hvis TFTP er slået til med SET TFTP ENABLED. TFTP er som standard slået fra. Da TFTP benytter port 69 som standard er filteret som følger: SET FILTER 4 ON DENY WAN0-0 0.0.0.0 0.0.0.0 192.168.1.1 255.255.255.255 PORT 69 Hvis du har firmware 2.3.0 eller 2.3.5 skal du huske at sætte nogle "tillad alt"-filtre op. Se spørgs-målet Når jeg aktiverer bare et enkelt filter, hænger routeren helt!
?: I hvilken rækkefølge bliver filtrene undersøgt?
!: Filtrene blive gennemgået i nummerrækkefølge, dvs. først filter 0 så filter 1 osv.
?: Hvordan kan jeg checke om der er adgang til for meget gennem routeren?
!: På web-siden www.grc.com kan funktionen "Shields Up" undersøge om der er åbent på forskellige kendte porte (brug funktionen "Probe my ports").
?: Hvordan får jeg routeren til at afbryde forbindelsen automatisk efter et bestemt stykke tid?
!: Idet forbindelsen ikke afregnes pr. minut er det i princippet uden betydning om forbindelsen er åben eller lukket. Hvis det alligevel har interesse sættes værdierne på følgende måde i enable-mode via Telnet: SET TIMEOUT IDLE 1800 eller SET TIMEOUT SESSION 1800 Timout-værdien "idle" afbryder forbindelsen efter det angivne antal sekunders inaktivitet (dvs. hvor der ikke har været datatrafik på linjen). Timeout-værdien "session" afbryder forbindelsen efter det angivne antal sekunder (målt fra forbin-delsen blev etableret), uanset om der er aktivitet på linjen på det pågældende tidspunkt. Da det kan tage adskillige (op til 40-45) sekunder at genetablere en forbindelse, bør timeout-værdierne ikke sættes for lavt. Som standard er timeoutværdierne sat til 0, dvs. ingen timeout. Med den opsætning er forbindelsen tilgængelig konstant.
?: Jeg kan ikke få kontakt til routeren med et kommunikationsprogram, selvom jeg følger instruktionen i manualen?
!: Vær opmærksom på, at kommunikationsprogrammet skal sættes til ikke at bruge (hardware-)flowcontrol. Normalopsætningen på de fleste systemer er at anvende hardware-flowcontrol, så slå det fra. Nogle routere er tilsyneladende sat til porthastighed 9.600 bps fremfor de 38.400 bps, der er omtalt i manualen. Har du problemer med at få kontakt, så prøv den anden hastighed. De øvrige indstillinger er 8 databits, ingen paritet og 1 stopbit.
?: Hvordan ser jeg, hvilken IP-adresse jeg (dvs. routeren) har fået tildelt lige nu?
!: Brug kommandoen SHOW NAT Du vil da se noget i stil med dette: NAT is currently enabled Inside Global Address set to 213.237.12.1 ... Adressen på anden linje ("Inside Global Address") er den IP-adresse som routeren har fået tildelt.
?: Har jeg fast IP-adresse? Det ser ud til at routeren altid får samme adresse tildelt?
!: Ja. Den IP-adresse som tildeles ved første forbindelse (når ADSL-forbindelsen aktiveres) bliver din permanen-te IP-adresse.
?: Jeg vil gerne have al trafik fra port 80 sendt til min egen server på mit lokale netværk. Hvordan gør jeg det?
!: Brug kommandoen SET NAT på følgende måde: SET NAT ENTRY ADD 192.168.5.5 80 0.0.0.0 80 TCP Det forudsættes her, at trafikken skal sendes til en PC med IP-adressen 192.168.5.5. Ligeledes kan andre porte bruges i stedet for port 80.
?: Hvordan sætter jeg routeren op, hvis jeg vil have en FTP-server kørende som skal være tilgængelig for andre?
!: Hvis serveren kører på 192.168.1.2 og du ikke har ændret routerens opsætning virker det straks, da al trafik til routeren sendes til 192.168.1.2. Har FTP-serveren en anden adresse, eller har routeren fået en anden IP-adresse skal følgende to kommandoer bruges (her antages at FTP-serveren er på 192.168.5.5): SET NAT ENTRY ADD 192.168.5.5 21 0.0.0.0 21 TCP Det kan være hensigtsmæssigt - og måske endda nødvendigt - at tilrette timeoutværdien for TCP NEGOTIATION: SET NAT TIMEOUT TCP NEGOTIATION 300 Hvis du fortsat har problemer, kan det måske være nødvendigt med følgende kommando: SET NAT ENTRY ADD 192.168.5.5 20 0.0.0.0 20 TCP
?: Jeg har problemer med ICQ, IRC, FTP (eller andet). Forbindelsen ser ud til at blive afbrudt pludseligt, men e-mail og web virker?
!: Problemet ligger i, at NAT-entries slettes for hurtigt. Dette rettes med kommandoen SET NAT TIMEOUT Der kan sættes timeout for forskellige typer forbindelser (TCP, UDP osv.). Hvis du ikke ved, hvilken type forbindelse det pågældende program bruger, så prøv dig frem med TCP først. Den nærmere forklaring er denne: Routeren benytter NAT (Network Address Translation). Det betyder, at når en PC på netværket vil "ud på Internet" husker routeren hvilken PC det var - for at sikre, at de ønskede data (f.eks. en web-side) sendes det rigtige sted hen. For at und-gå, at den huskeliste (NAT-tabellen) bliver for stor, slettes der automatisk i den, når et punkt har været ubrugt et stykke tid (normalt 60 sekunder). Ved f.eks. ICQ, IRC og FTP kan en forbindelse dog godt stå ubrugt i længere tid, uden at det betyder den skal lukkes. Problemet løses derfor ved at hæve timeoutværdien. Eksempel: SET NAT TIMEOUT TCP NEGOTIATION 300 SET NAT TI-MEOUT UDP 300 Den kommando sætter timeouten på TCP- og UDP-forbindelser til 300 sekunder (5 minutter). Er der kun få brugere på routeren kan navnlig UDP-timeouten sættes højere op, f.eks. til 3600 (en time).
?: Jeg har læst om en nyere firmware til routeren. Må jeg selv opgradere den?
!: Tiscali/World Online har fremstillet et program, der bl.a. kan opgradere routerens firmware til 2.4.2. Programmet samt manu-al kan hentes som zip-fil. World Onlines side med beskrivelse findes her
?: Jeg har slettet nogle entries i NAT-tabellen, men efter et reboot af routeren er de kommet igen. Hvordan fjernes de permanent?
!: Det er en kendt fejl i firmware 2.2.0 og 2.3.0 (og nyere). Tilsyneladende opstår fejlen kun, hvis det pågældende NAT-entry har 0.0.0.0 som ekstern IP-adresse (dvs. "brug den tildelte"). Imidlertid kan samtlige NAT-entries slettes ved at følge nedenstående fremgangsmåde. Bemærk at alle NAT-entries slettes - hvis du ønsker at beholde nogle af dem, må du oprette dem igen efterføl-gende. Giv kommandoen SHOW RUN Find den linje, der omhandler NAT. Linjen starter med "IP NAT Entry = " (Bemærk at formatet er anderledes end ved SHOW NAT kommandoen). Marker hele linjen (kan godt være flere skærmlinje) og kopier den til udklipsholderen (CTRL-C i Windows). Alternativt kan du skrive linjen ned, men det skal være helt nøjagtigt! Skriv kommandoen SET NVRAM DELETE , men tryk ikke på enter! Indsæt linjen fra udklipsholderen (CTRL-V i Windows) eller indtast den selv. Dette skal indtastes umiddelbart efter SET NVRAM DELETE - tryk derefter på enter. BEMÆRK: Der skal være et mellemrum til sidst på linjen! Giv kommandoen WRITE Hvis IP NAT linjen er over 200 tegn, kan ovenstående metode ikke anvendes direkte. I så fald kan man (i hvert fald i nogle tilfælde) "klippe" i linjen, indtil den når under 200 tegn. Det gøres ved kun at indsætte den sidste del af IP NAT = linjen efter SET NVRAM DELETE - denne gang dog uden mellemrum efter. Når IP NAT = linjen bliver kort, kan hele linjen sættes ind som beskrevet ovenfor. Virker dette heller ikke, er eneste udvej at slette hele routerens opsætning og genskabe den fra bun-den. Gør kun dette, hvis du er helt sikker på, hvordan det gøres. [Tak til Jens Fallesen og John Nekman for denne "opskrift"]
?: Hvor kan jeg læse mere om kommandoerne i routeren?
!: Dels online hos Cisco. Dels giver routeren selv hjælp, hvis en kommando ikke er komplet. Prøv f.eks. at skrive SET NAT - derefter viser rou-teren en liste over parametre.
?: Hvordan programmerer jeg routeren? Hvor skal jeg skrive kommandoerne?
!: For at skrive kom-mandoer direkte til routeren skal du oprette en telnet-forbindelse til den og skifte til såkaldt "enable-mode". Det gøres således: Start dit telnet-program. (Start, Kør, Telnet i Windows 9x og NT). Opret forbindelse til routerens IP-adresse (normalt 192.168.1.1). Indtast det password som World Online har givet dig. Du kan nu undersøge routerens opsætning, men ikke ændre den. Indtast kommandoen ENABLE. Indtast igen dit password. Du kan nu både se og ændre routerens opsætning.
?: Brugere på Internet kan ikke få fat i min server (Diablo 2, PCAnyWhere, NetOp el.lign.) eller min IRC forbinder langsomt.
!: Nogle programmer skal, for at fungere efter hensigten, kunne modtage data, som de ikke selv har "bestilt". Det gælder bl.a. spil-servere (f.eks. Diablo 2) og fjernstyrings-programmer (f.eks. PCAnyWhere og NetOp). For at få disse programmer til at fungere korrekt, skal der oprettes et permanent NAT-entry vedrø-rende den port, som det pågældende program anvender. Hvilke portnumre der er tale om, kan leve-randøren af programmet oplyse (eller det kan fremgå af manualen). Se evt. også listen over kendte portnumre i denne FAQ. Opsætning af et NAT-entry foretages med denne kommando (xx skal erstattes med det relevante portnummer): SET NAT ENTRY ADD 192.168.5.5 xx 0.0.0.0 xx TCP Har den pågældende PC en anden IP-adresse end 192.168.5.5 skal denne adresse naturligvis anven-des. For PCAnyWhere er det eksempelvis port 5631 (TCP) og 5632 (UDP). For nogle NetOp-vesioner er det port 9999 (TCP), for version 6.0 og 6.5 er standardporten 6502 (TCP). IRC-brugere kan angi-veligt have fordel af at tilføje port 113 (TCP) på ovenstående måde. Se også svaret til dette spørgsmål.
?: Når jeg aktiverer bare et enkelt filter, hænger routeren helt!
!: Dette problem opstår med firmware 2.3.0 og 2.3.5. Det skyldes tilsyneladende at routeren, hvis der overhovedet bruges filter (dvs. mindst et aktivt), afviser alle data både på LAN og WAN, der ikke specifikt tillades. Løsningen er at opsætte to filtre, der tillader alle data der ikke specifikt er blokeret af tidligere filtre. Brug følgende kommandoer: SET FILTER 18 OFF ALLOW INCOMING ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 SET FILTER 19 OFF ALLOW OUTGOING ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 SET FILTER 18 19 ON En alternativ løsning er at skrive kommandoerne (kun de to første linjer og med OFF ændret til ON) i et tekstbehandlingsprogram, f.eks. Notepad i Windows. Husk et linjeskift efter sidste linje. Marker begge linjer og kopier dem. Skift derefter til Telnet-vinduet og sæt linjerne ind. Hvis ingen af ovenstående metoder virker, så sæt filtrene op (stadig kun de to første linjer med OFF ændret til ON) via det serielle kabel, der følger med routeren. [Tak til "Toego", Lars Bo Wassini og Paul Samsig for diverse forslag/forberinger af dette tip.]
?: Alle DNS-opslag giver den samme - forkerte - adresse, f.eks. 89.216.0.23 eller 255.255.0.0
!: Prøv at give routeren denne kommando: SET NAT ENTRY DELETE ALL Det hjælpder desværre ikke altid.
?: Hvordan blokerer jeg for NetBIOS (port 137-139)
!: I firmware 2.2.0 (brug SHOW VERSION for at se versionen) gøres det med følgende tre filtre: SET FILTER 0 ON DENY ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 PORT 137 SET FILTER 1 ON DENY ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 PORT 138 SET FILTER 2 ON DENY ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 PORT 139 I firmware 2.3.0 og 2.3.5 bruges følgende: SET FILTER 0 ON DENY INCOMING ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 PROTOCOL TCP SRCPORT 1-65535 DESTPORT 137-139 SET FILTER 1 ON DENY INCOMING ALL 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 PROTOCOL UDP SRCPORT 1-65535 DESTPORT 137-139 Hvis du har firmware 2.3.0 eller 2.3.5 skal du huske at sætte nogle "tillad alt"-filtre op. Se spørgs-målet Når jeg aktiverer bare et enkelt filter, hænger routeren helt! Bruger du Windows 2000 kan du med fordel også blokere port 445 , da denne port i Windows 2000 giver adgang til en delvis fjernstyring. Erstat blot 137 (hhv. 137-139) med 445 i ovenstående kom-mandoer.
?: Jeg vil ikke/tør ikke ændre routerens opsætning, kan jeg så ikke få bedre sikkerhed?
!: Jo, men det kan dog være mere besværligt end at sætte filtre op eller skifte IP-adresser. Dels kan du anskaffe og opsætte en firewall. Der findes billige/gratis personlige firewalls til enkelt-stående (eller nogle få) PC’er, men til større installationer bør der opsættes en egentlig "stor" fire-wall mellem ADSL-forbindelsen og resten af netværket. Dernæst kan du ændre opsætningen af de tilsluttede PC’er, så der f.eks. ikke drev (eller i hvert fald ikke uden kodeordsbeskyttelse). Dette beskrives bl.a. på www.grc.com Den nærmere fremgangsmåde for disse metoder falder dog uden for rammerne af denne FAQ, og jeg må henvise til at søge nærmere oplysninger andre steder. Lad venligst være med at sende mig spørgsmål sikkerhed pr. e-mail - jeg har ikke tid eller mulighed for at yde individuel support m.v. Beklager.
?: Hvordan genskaber jeg routerens standardopsætning?
!: BEMÆRK: Nedenstående fremgangsmåde kan - hvis der begås fejl - medføre, at routeren slet ikke virker og skal til reparation med deraf føl-gende betalingskrav! Enhver anvendelse af denne metode sker fuldt ud på brugerens eget ansvar! Det er muligt at genskabe en "blank" konfiguration, så routeren er, som da du modtog den fra World Online. Denne fremgangsmåde kan eventuelt bruges, hvis du har mange NAT-entries, som du ikke kan slippe af med. Vær dog opmærksom på, at nedenstående opskrift medfører at al opsætning bliver som ved leveringen - du skal altså selv starte forfra med opsætning. Nedenstående kommandoer skal indtastes ved hjælp af et terminalprogram, f.eks. Hyperterminal (følger med Windows 9x), dvs. via det medfølgende serielkabel. Hvis du er i tvivl om, hvordan du får adgang til routeren via serielkabel, så forsøg ikke nedenstående! I nedenstående kommandoer kan du erstatte standard IP-adressen 192.168.1.1(eth0), hvor denne figurerer, med den IP adresse som routeren skal have, for at den passer ind i dit eksisterende net-værk. Du skal så ligeledes tilpasse IP adressen i linien set nat entry add 192.168.1.2 Når routerens opsætning er helt slettet, indtastes nedenstående for at genskabe standardopsætnin-gen. Det beskrives ikke her, hvordan opsætningen slettes total. Ved du det ikke, bør du nok ikke forsøge nedenstående. Bemærk, at alle linjer starter med ordet "set" - hvis du ser linjeskift nedenfor skal de ikke med, når du indtaster linjen! set ppp wan0-0 login dit brugernavn set ppp wan0-0 password din adgangskode set pass enable din adgangskode set pass exec din adgangskode set interface eth0 address 192.168.1.1 set interface eth0 mask 255.255.255.0 set interface wan0-0 close set interface wan0-0 vpi 0 set interface wan0-0 vci 35 set interface wan0 stay set nat enabled set web enabled set ppp wan0-0 ipcp 0.0.0.0 set nat outside ip 0.0.0.0 set nat entry add 192.168.1.1 23 0.0.0.0 23000 tcp set nvram add IP NAT Entry = 192.168.1.1, 23, 0.0.0.0, 23000, tcp; 192.168.1.2, *, *, *, *;mellemrum set dhcp server pool 0 gateway 192.168.1.1 set dhcp server pool 0 dns 212.54.64.170 set dhcp server pool 0 sdns 212.54.64.171 set dhcp server pool 0 ip 192.168.1.3 set dhcp server pool 0 size 250 set dhcp server pool 0 netmask 255.255.255.0 set dhcp server pool 0 enable set dhcp server enabled set interface wan0-0 open set serial timeout 0 set tftp disabled set telnet enabled set timeout session off set timeout idle off set nat timeout udp 600 set route default wan0-0 write reboot Du mister herefter forbindelsen til routeren. Luk terminalprogrammet. Sluk for routeren. Tag seriel-kablet fra router og maskine. Tilslut netværkskablet (hvis dette ikke allerede er tilsluttet). Tænd for routeren.
?: Hvordan ser jeg, hvilken firmware min router bruger?
!: Giv blot kommandoen SHOW VERSION
?: Jeg har sat et NAT-entry op, men der er stadig ikke forbindelse til min server eller mit program
!: I NAT-opsætningen angives som bekendt protokoltypen (TCP eller UDP) sidst på linjen. Kontroller derfor om det pågældende program benytter TCP eller UDP til dataudveksling. De fleste anvender TCP, men bl.a. visse spil anvender UDP.
?: Hvilken port bruger et-eller-andet-program?
!: Jeg kender af gode grunde ikke alle de porte som forskellige programmer anvender. Listen nedenfor angiver portnumre for nogle hyppigt anvendte programmer og funktioner: Echo 7 (TCP & UPD) FTP 21 (TCP) SSH 22 Telnet, WinGates 23 (TCP) SMTP 25 (TCP) Time 37 (TCP & UDP) WhoIs 43 (TCP) DNS 53 (TCP & UDP) Finger 79 (TCP) HTTP/web 80 (TCP) POP3 110 (TCP) NNTP 119 (TCP) HTTPS 443 (TCP) AIM/ICQ 5190 IRC 6665 PcAnywhere 5631 (TCP) og 5632 (UDP) NetOp 9999 (TCP) eller 6502 (TCP) Se også filen services. der findes på de fleste styresystemer. I Windows 9x findes filen i c:windows Se derudover siderne http://www.iana.org/assignments/port-numbers og http://www.iss.net/security_center/advice/Exploits/Ports/ Tak til Niels Ebbesen for oplægget til ovenstående liste.