Professional Documents
Culture Documents
INDICE
PREMESSA
PRECAUZIONI
DICHIARAZIONE CE DI CONFORMITA'
INFORMAZIONI RELATIVE ALLUTILIZZO DI QUESTO APPARATO WIRELESS
II
II
II
III
1. INTRODUZIONE
1.1. WIRELESS LAN
1.1.1. TIPOLOGIE DI RETI WIRELESS
1.2. CARATTERISTICHE
1.3. DESCRIZIONE LED
1.4. DESCRIZIONE PORTE
1.1
1.1
1.2
1.2
1.4
1.4
2. INSTALLAZIONE
2.1. INSTALLAZIONE HARDWARE
2.1
2.1
3. CONFIGURAZIONE
3.1. CONFIGURAZIONE PC
3.2. ACCESSO ALLA CONFIGURAZIONE
3.3. CONFIGURAZIONE LINEA ADSL
3.4. CONFIGURAZIONE WIRELESS
3.4.1. IMPOSTAZIONI DI SICUREZZA (WEP)
3.4.2. IMPOSTAZIONI DI SICUREZZA (WPA)
3.1
3.1
3.2
3.2
3.5
3.6
3.6
ASSISTENZA E CONTATTI
La maggior parte dei problemi pu essere risolta consultando il paragrafo Risoluzione dei problemi nel manuale
utente, oppure facendo riferimento alla sezione Supporto > Aiuto in linea presente sul nostro sito www.digicom.it.
Se, dopo unattenta lettura delle procedure ivi descritte, non riusciste comunque a risolvere il problema, vi invitiamo
a contattare il rivenditore presso cui stato acquistato il prodotto e, in ultima analisi, lassistenza Digicom.
Sito Internet:
E-mail:
http://www.digicom.it
support@digicom.it
possibile stampare il modulo di RICHIESTA ASSISTENZA scaricandolo dal nostro sito Internet
www.digicom.it nella sezione Supporto > Riparazioni e Garanzia, o prelevando il file PDF dal CD-ROM
incluso nella confezione (ove presente).
I
Premessa
PREMESSA
vietata la riproduzione di qualsiasi parte di questo manuale, in qualsiasi forma, senza esplicito consenso scritto della Digicom
S.p.A. Il contenuto di questo manuale pu essere modificato senza preavviso.
Ogni cura stata posta nella raccolta e nella verifica della documentazione contenuta in questo manuale, tuttavia la Digicom non
pu assumersi alcuna responsabilit derivante dallutilizzo della stessa.
Tutte le altre marche, prodotti e marchi appartengono ai loro rispettivi proprietari.
PRECAUZIONI
Al fine di salvaguardare la sicurezza, lincolumit delloperatore e il funzionamento dellapparato, devono essere rispettate
le seguenti norme per linstallazione. Il sistema, compresi i cavi, deve venire installato in un luogo privo o distante da:
Polvere, umidit, calore elevato ed esposizione diretta alla luce del sole.
Oggetti che irradiano calore. Questi potrebbero causare danni al contenitore o altri problemi.
Oggetti che producono un forte campo elettromagnetico (altoparlanti Hi-Fi, ecc.)
Liquidi o sostanze chimiche corrosive.
CONDIZIONI AMBIENTALI
Temperatura ambiente da -5 a +45C
Umidit relativa dal 20 a 80% n.c.
Si dovr evitare ogni cambiamento rapido di temperatura e umidit.
AVVERTENZE GENERALI
Per evitare scosse elettriche, non aprite lapparecchio o il trasformatore. Rivolgetevi solo a personale qualificato.
Scollegate il cavo di alimentazione dalla presa a muro quando non intendete usare lapparecchio per un lungo
periodo di tempo. Per scollegare il cavo tiratelo afferrandolo per la spina. Non tirate mai il cavo stesso.
In caso di penetrazione di oggetti o liquidi allinterno dellapparecchio, scollegate il cavo di alimentazione e fatelo
controllare da personale qualificato prima di utilizzarlo nuovamente.
PULIZIA DELLAPPARATO
Usate un panno soffice asciutto senza lausilio di solventi.
VIBRAZIONI O URTI
Attenzione a non causare vibrazioni o urti.
Questa apparecchiatura pu essere utilizzata nei seguenti paesi: IT, DE, ES, PT, BE, NL, GB, IE, DK, GR, CH.
DICHIARAZIONE
DI CONFORMITA'
Noi, Digicom S.p.A. via Volta 39 - 21010 Cardano al Campo (Varese - Italy), dichiariamo sotto la nostra esclusiva
responsabilit, che il prodotto a nome Michelangelo Wave 125, al quale questa dichiarazione si riferisce, soddisfa
i requisiti essenziali della sotto indicata Direttiva:
1999/5/CE del 9 Marzo 1999 R&TTE (riguardante le apparecchiature radio e le apparecchiature terminali di
telecomunicazione e il reciproco riconoscimento della loro conformit) come designato in conformit alle richieste
dei seguenti Standard di Riferimento o ad altri documenti normativi:
EN 55022
EN 300 328-2
EN 301 489-1
EN 301 489-17
EN 55024
EN 60950
Premessa
III
Premessa
IV
Introduzione
1.
INTRODUZIONE
WIRELESS LAN
Una Wireless LAN una rete di computer, comparabile ad una rete cellulare, che utilizza i segnali radio per far
comunicare i computer tra loro, invece di veri e propri cavi.
La Wireless LAN pu essere utilizzata sia in ufficio sia in casa e rende il lavoro pi semplice grazie alla vera
mobilit del computer che non pi legato ad un cavo di rete che ne limita di fatto lubicazione.
Gli utenti di una Wireless LAN possono utilizzare ed accedere alle stesse risorse a cui hanno accesso sulla normale
rete Ethernet cablata. Le schede di rete o adattatori Wireless per computer portatili o desktop supportano gli stessi
protocolli delle schede di rete Ethernet.
Generalmente un utente Wireless non nota alcuna differenza sostanziale nellutilizzo della WLAN in confronto
alla rete cablata, a parte il vantaggio di essere veramente mobile.
In molte circostanze necessario poter accedere a risorse come server, stampanti o accessi Internet raggiungibili
sulla rete cablata. LAccess Point Wireless sar il punto di accesso a tutte queste risorse per i computer Wireless.
Lutilizzo della tecnologia Wireless LAN porta molti vantaggi, tra cui la mobilit ed il basso costo di realizzazione
(comparato ai costi di un cablaggio strutturato). Una rete WLAN mette a disposizione le informazioni in qualsiasi
locazione coperta dal segnale. Una rete WLAN pu essere gestita, modificata e rilocata in modo molto semplice e
veloce.
Linteroperabilit con altri sistemi basati sulla tecnologia IEEE 802.11b e IEEE 802.11g permette di integrare ed
espandere le possibilit di utilizzo in modo semplice ed efficace.
1.1
Introduzione
1.1.1.
Access
Point
LAN
Infrastructure
Tipologia di rete Wireless a stella che prevede la presenza di
un Access Point.
In questa modalit lAccess Point rappresenta lequivalente di
un hub o switch di rete, concentra le connessioni di una serie
di client e permette la comunicazione tra essi. LA.P. pu
anche svolgere le funzioni di gateway verso la LAN cablata.
Internet
ROUTER
Server
Internet
ROUTER
LAN
Access
Point
Access
Point
Prerequisiti
Computer con scheda di rete Ethernet o compatibile 802.11b/g
Protocollo Tcp/Ip installato su ogni macchina
Cavi di rete UTP Cat.5 con connettori RJ45 su entrambe le estremit
Linea ADSL su linea analogica con connettore RJ11
Abbonamento ADSL singolo utente
Dati abbonamento ADSL
Contenuto della confezione
1 Michelangelo Wave 125
1 Alimentatore 12VDC
1 cavo di linea RJ11 RJ11
1 cavo di rete RJ45 - RJ45
1 Cd-rom con il manuale completo
1 Guida rapida di installazione
1.2.
CARATTERISTICHE
ADSL
ADSL2 (ITUG.922.3), ADSL2+ (ITUG.922.5), READSL, DELT
Standard ADSL: ANSI T1.413 Issue 2, ITU G.922.1 (G.dmt), ITU G.992.2 (G.lite)
Protocolli Supportati : RFC 2364 (PPP over ATM), RFC 2516 (PPP over Ethernet), RFC 1483
Interfaccia WAN ADSL: Connettore RJ11
LAN
Switch 4 porte 10/100 Mbit/s
MDI / MDI-X su tutte le porte
WIRELESS
Tecnologia Wireles IEEE 802.11g e 802.11b 2.4GHz
Supporto modalit 802.11g+ a 125 Mbit/s
DSSS Direct Sequence Spread Spectrum
13 canali
Velocit Wireless: Automatic, 125 Mbit/s, da 54 a 1 Mbit/s
1.2
Introduzione
Antenna esterna
Supporto crittografia dati WPA-PSK e WEP64/128 bit
Interoperabile Wi-Fi
Accesso ad Internet
Accesso condiviso ad Internet. Tutti i PC connessi alla LAN oppure alla WLAN (se opportunamente configurati)
potranno accedere in modo sicuro ad Internet, contemporaneamente ed in modo trasparente.
Abbonamento per singolo utente. Grazie alle funzionalit di NAT, tramite un abbonamento Internet per singolo
utente tutti i PC potranno navigare contemporaneamente.
Restrizioni accesso WLAN
Accesso controllato alla LAN. Se necessario possibile abilitare laccesso alla LAN solamente ai client Wireless
abilitati.
Accesso controllato alla WAN. Se necessario possibile abilitare laccesso alla WAN (Internet) solamente ai
client Wireless abilitati.
Funzioni Internet Avanzate
Virtual Servers. Permette a utenti Internet di accedere a computer presenti sulla propria LAN
User-Defined Virtual Servers. Permette a utenti Internet di accedere a servizi speciali messi a disposizione sulla
propria LAN.
Special Internet Applications e supporto ALG. Permette di utilizzare applicazioni Internet speciali come Internet
Videoconferencing, Telephony, Games Servers ecc.
DMZ. E possibile rendere direttamente visibili (esporre) da Internet tutti i servizi offerti da una macchina, senza
applicare alcuna restrizione.
Configurazione e Monitor
Configurazione semplice ed immediata attraverso un comune browser (Explorer, Netscape, ecc.) l Gestione e
monitoraggio da una qualsiasi stazione di LAN locale o remota
Supporto protocollo UpnP (Universal Plug and Play) per Windows XP, 2000 e Me.
Sicurezza e protezione dei dati
Accesso alla configurazione protetto da password
Access List. Creazione di gruppi di utenti ai quali restringere o negare lutilizzo di Internet con log visualizzabiile.
Filtro su URL in uscita.
Tutti i pacchetti di dati provenienti dal link WAN vengono controllati e verificati. Tutte le richieste di accesso a
stazioni presenti in LAN sono automaticamente filtrate e bloccate.
Ogni accesso non autorizzato proveniente da Internet bloccato proteggendo la sicurezza dei dati presenti in
LAN. Protezione automatica da attacchi di tipo Denial of Service.
Supporto VPN Passthrough per i protocolli L2TP, PPTP e IPSEC.
Log delle operazioni ed eventi diretto, via e-mail o syslog.
FUNZIONI DI VPN GATEWAY (solo modelli con funzione VPN Gateway)
Supporto IPSec standards, incluso IKE, DES, 3DES, AES
Supporto fino a 8 Tunnel VPN.
1.3
Introduzione
1.3.
DESCRIZIONE LED
Power Verde
Status
LAN
WLAN
ADSL
INTERNET
1.4.
DESCRIZIONE PORTE
Power
LAN 1 4
Reset
ADSL
Installazione
2.
INSTALLAZIONE
2.1.
INSTALLAZIONE HARDWARE
1. Posizione
Scegliete una locazione che sia vicina:
Alla linea ADSL
alla rete elettrica 220V
ad uno switch o presa di rete RJ45 10BaseT o 100 BaseT
in una posizione centrale rispetto alla rete Wireless che volete creare.
2. Collegate il dipsositivo allalimentatore fornito nella confezione (12V dc) e accendetelo tramire l'interruttore
Verificate che dopo una decina di secondi siano accesi i led Power e Wireless
3. Collegate il vostro PC tramite cavo di rete Ethernet CAT.5 (diritto) ad una delle porte LAN del dispositivo
Verificate che si accenda il led 10BT o 100BT corrispondente alla porta che state utilizzando.
2.1
Configurazione
3.
CONFIGURAZIONE
CONFIGURAZIONE PC
Per accedere alla configurazione di Michelangelo Wave 125 indispensabile che il vostro computer utilizzi il protocollo
TCP/IP dopodich il metodo pi semplice quello di utilizzare il servizio di DHCP server di Michelangelo Wave
125; lalternativa quella di modificare manualmente lindirizzo IP del vostro computer.
Di seguito sono riportate le indicazioni per entrambe le modalit.
IMPOSTAZIONE COME CLIENT DHCP
Windows XP
1. Dal men Start selezionate -> Pannello di Controllo -> Rete e Connessioni Internet , Risorse di rete e
selezionate Visualizza risorse di rete.
2. Selezionate Connessione alla rete locale (LAN) e visualizzate le Propriet, selezionate Protocollo Internet
(TCP/ IP) e premete sul pulsante Propriet.
3. Per impostare il Computer come client DHCP dovete selezionare Ottieni automaticamente un Indirizzo IP, a
questo punto potete chiudere le finestre confermando con OK.
4. Riavviate Windows per rendere attive le nuove impostazioni.
Macintosh
1. Dal Pannello di controllo selezionate Preferenze di Sistema (System Preferences).
2. Cliccate sullicona Network.
3. Selezionate Mostra: Ethernet Integrata (Built-in Ethernet).
4. Cliccate sul pulsante TCP/IP.
5. Selezionate Utilizzo di DHCP (Using DHCP).
6. Chiudete il pannello Network.
Linux
Di seguito verranno date alcune informazioni su come configurare le risorse di rete utilizzando il Centro di Controllo
KDE, con la distribuzione Suse 6.2.
1. Attivate il Control Center.
2. Selezionate Configurare la scheda di rete nel men Network Basic.
3. Selezionate Assegnazione automatica degli indirizzi (via DHCP).
4. Confermate con Termina.
INDIRIZZI IP STATICI
Windows XP
1. Dal men Start selezionate -> Pannello di Controllo -> Rete e Connessioni Internet , Risorse di rete e
selezionate Visualizza risorse di rete.
2. Selezionate Connessione alla rete locale (LAN) e visualizzate le Propriet, selezionate Protocollo Internet
(TCP/ IP) e premete sul pulsante Propriet.
3. Per impostare un indirizzo IP dovete selezionare Utilizza il seguente indirizzo IP: ed inserite Indirizzo IP
192.168.0.2, la Subnet mask 255.255.255.0 ed il Gateway 192.168.0.1. Confermate con OK le nuove impostazioni.
4. Riavviate Windows per rendere attive le nuove impostazioni.
3.1
Configurazione
Macintosh
1. Dal Pannello di controllo selezionate Preferenze di Sistema (System Preferences).
2. Cliccate sullicona Network.
3. Selezionate Mostra: Ethernet Integrata (Built-in Ethernet).
4. Cliccate sul pulsante TCP/IP.
5. Selezionate Manualmente (Manually).
6. Inserite i valori per IP 192.168.0.2, Maschera di sottorete (Subnet Mask) 255.255.255.0 e Router 192.168.0.1.
7. Chiudete il pannello Network.
Linux
Di seguito verranno date alcune informazioni su come configurare le risorse di rete utilizzando il Centro di Controllo
KDE, con la distribuzione Suse 6.2.
1. Attivate il Control Center.
2. Selezionate Configurare la scheda di rete nel men Network Basic.
3. Selezionate Impostazione degli indirizzi statici, ed inserite Indirizzo IP 192.168.0.2, la Subnet mask 255.255.255.0.
4. Per impostare il gateway, cliccate su Routing e inserite lindirizzo 192.168.0.1 nel campo Gateway predefinito.
3.2.
3.3.
Cliccate sul link Setup Wizard per iniziare la configurazione della linea ADSL.
Cliccate sul tasto Next
Selezionate lopzione Manual Selection e cliccate sul tasto Next.
Inserite i valori corretti di VPI e VCI, come indicati dal vostro contratto ADSL e cliccate sul tasto Next.
3.2
Configurazione
Inserite il nome utente per laccesso nel campo Login Name, e la relativa password nel campo Password.
Nel campo Connect behavior impostate Keep Alive per mantenere il router sempre collegato alla linea ADSL.
Solitamente tutti questi tipi di abbonamento non hanno un indirizzo fisso, pertanto selezionate Automatic nei due
parametri successivi.
7)
3.3
Configurazione
Per questo tipo di linee il protocollo da utilizzare IP over ATM con Multiplexing LCC-BASED.
6)
Nel campo IP address impostate lindirizzo IP che vi stato assegnato dal vostro Provider.
Nel campo IP Subnet Mask inserite la Subnet Mask che vi stata fornita, se nel contratto 255.255.255.255
inserite 255.255.255.0
Nel campo Gateway IP Address inserite il Gateway che vi stato fornito nel contratto; solitamente corrisponde ai
primi 3 campi del vostro indirizzi con 254 finale.
Nel campo DNS Server inserite uno degli indirizzi DNS che trovate sul contratto.
7)
3.4
Configurazione
3.4.
CONFIGURAZIONE WIRELESS
Cliccate sul link Wireless per accedere alla pagina di configurazione della sezione Wireless.
Region:
SSID:
Mode:
Channel No:
Broadcast SSID:
Selezionate Europe, questo parametro abiliter lutilizzo dei soli canali Wireless utilizzabili in
Europa.
Inserite il nome della rete Wireless che volete creare.
Selezionate dalla lista la modalit operativa dellAccess Point
802.11b rete Wireless 11Mbit/s
802.11g rete Wireless 54Mbit/s
802.11g & 802.11b rete Wireless compabile con entrambi gli standard.
Se alla vostra rete accederanno SOLO client a 11 o a 54 Mbit/s selezionate solo la modalit
necessaria per avere le massime prestazioni.
802.11g+ (TI) rete Wireless compatibile solo con dispositivi che supportano la modalit G+ (basata
su Tecnologia Texas Instruments) a 125 Mbit/s.
Selezionate dalla lista il numero del canale Wirelss che volete utilizzare.
Disabilitando questa opzione la rete Wireless non sar visibile (HIDE SSID) da eventuali Site
Survey o Discover effettuati dai client; solo i client che conoscono am priori il nome della rete
potranno accedervi.
3.5
Configurazione
Enable Wireless Access Point: Disabilitando questopzione la sezione Wireless del dispositivo viene spenta.
3.4.1. IMPOSTAZIONI DI SICUREZZA (WEP)
Cliccate sul tasto Configure WEP per abilitare e configurare la crittografia WEP
Security System:
WEP Data Encryption:
Authentication Type:
Key1~4:
Passphrase:
Selezionate WEP
Selezionate 64 bit o 128 bit per attivare il livello di crittografia scelto.
Selezionate il tipo di autenticazione che volete impostare (consigliato Automatic).
Selezionate la chiave di crittografia che volete utilizzare ( possibile impostare fino a 4 chiavi, solo
quella selezionata attiva).
La chiave deve essere composta da 10 caratteri ESADECIMALI (HEX) per il livello di crittografia
a 64bit e da 26 caratteri ESADECIMALI (HEX) per il livello di crittografia a 128bit.
Per semplificare la memorizzazione delle chiavi di crittografia possibile generare automaticamente
le 4 Key utilizzando lalgoritmo Passphrase, inserendo una stringa di testo e premendo il tasto
Generate Keys.
Verificate che tutti i client dispongano dellalgoritmo di generazione Passphrase prima di utilizzare questo metodo.
Cliccate sul tasto Save per salvare le impostazioni.
3.4.2. IMPOSTAZIONI DI SICUREZZA (WPA)
Cliccate su Configure per abilitare e configurare la crittografia WPA.
Security System:
PSK:
Encryption:
Selezionate WPA-PSK.
Inserite la chiave di crittografia, una stringa di caratteri comporta da un minimo di 8 ad un massimo
di 63 caratteri.
Selezionate la voce TKIP.
3.6
Configurazione
ACCESSO AD INTERNET
Configurazione
Cliccate sul link Administration e successivamente accedete alla pagina Config File.
Salvataggio configurazione
Cliccate sul tasto Backup e selezionate lopzione Salva, salvate il file in una cartella a vostra scelta sul PC.
Ripristino di una configurazione salvata
Cliccate sul tasto Sfoglia e selezionate il file di configurazione che volete ripristinare.
Cliccate sul tasto Restore.
Ripristino configurazione di fabbrica
Cliccate sul tasto Factory Defaults per ripristinare tutte le impostazioni di fabbrica.
Terminata la procedura il router sar raggiungibile allindirizzo 192.168.0.1
3.8
Configurazione Avanzata
4.
CONFIGURAZIONE AVANZATA
ADVANCED - INTERNET
In questa sezione possibile rendere accessibili da Internet tutti i servizi di una macchina e definire dei filtri URL
per bloccare laccesso a determinati siti Web.
DMZ:
Questa funzione, se abilitata, permette di rendere un solo (1) computer della LAN completamente
esposto agli utenti Internet, senza implementare alcuna restrizione alle comunicazioni bilaterali
tra il computer e lutente Internet.
Ci permette di dare accesso a server speciali, che utilizzano software client proprietary o che
necessitano di comunicazioni bilaterali.
Lindirizzo IP visibile agli utenti Internet quello statico o dinamicamente assegnato dal provider
Internet.
Per permettere laccesso, qualsiasi sicurezza del Firewall viene scavalcata creando una situazione
di potenziale rischio, pertanto utilizzate questa funzione a proprio rischio e pericolo, solamente se
le funzioni di Virtual Server e Firewall Roules non sono sufficienti.
Indicate il PC da esporre in DMZ dal men a tendina, il PC deve essere inserito nel PC Database.
Specials Application: Questa funzione permette lutilizzo di applicazioni particolari attraverso un NAT.
A fronte di una sessione in uscita con destinazione le porte inserite nella colona Outgoing ports, viene
4.1
Configurazione Avanzata
automaticamante creato un Virtual Server sulle porte descritte nella colonna Incoming Ports. Con indirizzo di
destinazione, IP che ha generato loutgoing.
In questa modalit quindi possibile utilizzare una funzionalit da pi PC, senza moficare le configurazioni dei
dispositivi che si collegano, UN SOLO PC ALLA VOSTA potr utlizzare la la special Application.
URL Filter:
Questa funzione permette di bloccare laccesso a siti web che contengono particolari parole
nellindirizzo.
- Disable: Disabilita la funzione di URL Filter.
- Block Always: Attiva la funzione di URL Filter.
- Block By Schedule: Attiva la funzione di URL Filter solo nei giorni e nelle fascie orarie definite
nella finestra Schedule.
Cliccate sul tasto Configure URL Filter per definire i filtri.
Current Filter String mostra lelenco delle parole che vengono bloccate.
Per aggiungere dei nuovi filtri, inserite la parola da bloccare nel campo Add Filter String e cliccate sul tasto Add.
Per cancellare un filtro, selezionate la parola da eliminare e cliccate sul tasto Delete, oppure sul tasto Delete All
per cancellare TUTTI i filtri.
Inserite i filtri in modo pi preciso possibile, bloccando parole o sigle di uso comune si rischia di bloccare laccesso
anche a siti da visualizzare.
La ricerca delle parole effettuata sul link URL, per esempio la pagina Digicom con lelenco dei prodotti : http://
www.digicom.it/italiano/prodotti/tabelle/home_pro.htm, se in questa stringa compare una delle parole indicate la
pagina NON sar visualizzabile.
Trusted PC permette laccesso incondizionato a tutti i siti da un solo PC. (il PC deve essere inserito nel PC
Database).
Cliccate sul tasto Save per salvare le impostazioni.
4.2
Configurazione Avanzata
4.2.
Dynamic DNS permette agli utenti Internet di accedere ai vostri Virtual Servers utilizzando un URL invece di un
indirizzo IP, risolvendo anche il problema dellindirizzo IP dinamico che pu cambiare da connessione in connessione.
Per utilizzare questa funzione necessario effetuare una registrazione gratuita al servizio Dynamic DNS allindirizzo
www.dyndns.org
La funzione primaria del Firewall quella di bloccare gli attacchi DoS (Denial of Service).
Un attacco DoS non mira a penetrare le difese e carpire dati ma piuttosto a saturare la banda disponibile sulla
connessione Internet rendendola di fatto inutilizzabile.
Questa funzione gi attiva, in questo men di configurazione possibile creare regole specifiche per abilitare o
bloccare il passaggio di un traffico dati specifico.
E necessaria un attenta pianificazione per evitare di incorrere in situazioni di compromissione della sicurezza.
La sezione Firewall Rules si divide in due parti:
Incoming:
Regole per la gestione di tutto il traffico in ingresso.
Outgoing:
Regole per la gestione di tutto il traffico in uscita.
4.3.1. INCOMING RULES
Tutte le sessioni provenienti dallesterno (da Internet) dirette allindirizzo di WAN del router vengono bloccate.
Per permettere il passaggio di queste sessioni possibile creare delle apposite regole.
4.3
Configurazione Avanzata
Service:
Action:
Effettuando una configurazione come quella proposta nellimmagine, da Internet sar possibile accedere ai Servizi
Terminal sul PC con indirizzo 192.168.0.68 (i servizi terminal utilizzano la porta 3389 in tcp).
4.4
Configurazione Avanzata
E possibile bloccare alcune sessioni aggiungendo nuove regole, cliccate sul tasto Add per creare una nuova regola:
Service:
Action:
LAN Users:
WAN Users:
Log:
Effettuando una configurazione come quella proposta nellimmagine vengono bloccate TUTTE le connessioni FTP
verso lesterno, tutti i PC NON potranno scaricare il FTP da Internet.
4.5
Configurazione Avanzata
Analizziamo la regola n2, questa regola blocca (BLOCK always) tutte le connessioni FTP.
Volendo permettere ad un PC di effettuare questa connessioni necessario inserire la regola n1 che permette il
passaggio delle sessioni FTP generate dal PC 192.168.0.68.
In questo caso il numero della regola importante, se venisse sempre processata prima la regola 2, tutte le
sessioni FTP verrebbero bloccate anche quelle abilitate per lIP 192.168.0.68
Per spostare una regola, selezionatela cliccando sul pallino nella prima colonna, cliccate sul tasto funzione Move
ed inserite il numero delle posizione in cui la regola deve essere inserita.
4.6
Configurazione Avanzata
4.4.
Il dispositivo include gi un elenco di servizi da utilizzare nelle Firewall Rules, in questo men di configurazione
possibile definire dei servizi personalizzati.
ADVANCED OPTIONS
Respond to Ping on Internet: Se abilitate questopzione il router risponder al Ping sullindirizzo IP di WAN.
MTU Size:
Inserite la dimensione massima dei pacchetti di Ping al quale il router risponder. (il Ping effettuato
da MS-Dos al default di 32Byte)
Enable UPnP:
Se selezionato abilita la configurazione tramite UPnP (Universal Plug n Play)
Advertisement Period:
Il tempo espresso in minuti, inserite un valore da 1 a 1440.
Advertisement Time ti Live: Inserite il numero di Hops, il valore deve essere compreso tra 1 e 255.
4.7
Configurazione Avanzata
4.6.
ADVANCED SCHEDULE
La maggior parte delle funzioni avanzate del dispositivo possono essere attivate solo in fasce orarie prestabilite.
In questa pagina di configurazione possibile definire queste fasce.
La prima sezione da configurare Local Time; configurate i parametri come nellimmagine, salvate le impostazioni
con il tasto Save e successivamente effettuate un reboot del router.
Attendete che il router si colleghi alla linea Adsl e riaccedete a questa pagina di configurazione.
Verificate che Current Time indichi lorario e la data corretta.
Selezionate i giorni della settimana dalla lista e la fascia oraria.
Salvate le impostazioni con il tasto Save.
4.8
Configurazione Avanzata
Selezionate il servizio da rendere accessibile dallesterno dalla lista Servers, abilitate la funzione con Enable e
indicate quale PC ospita tale server selezionandelo dalla lista PC (Server).
Il PC deve essere gi inserito nel PC Database.
Se il servizio necessario non indicato in lista utilizzate la funzione Firewall roules per effettuare lesportazione
necessaria.
Cliccate sul tasto Save per salvare la configurazione, salvate dopo abilitazione o disabilitazione di un servizio.
4.8.
ADMINISTRATION PC DATABASE
In questa sezione possibile definire un Database di PC che si collegheranno al dispositivo; alcune funzionalit del
router necessitano del PC Database.
Questa soluzione serve a garantire che ad un indirizzo IP corrisponda sempre lo stesso PC.
Nel riquadro Known PCs vengono elencati tutti i PC gi inseriti e i PC che sono collegati tramite DHCP Server.
Per inserire nel Database un nuovo PC, inserite un nome mnemonico nel campo Name: ed il suo indirizzo IP nel
campo IP Address: (Il PC deve essere collegato alla rete).
Cliccate sul tasto Advanced Administration per accedere al men di gestione avanzata del database.
4.9
Configurazione Avanzata
Per inserire nel Database un nuovo PC, inserite un nome mnemonico nel campo Name:
Nella sezione IP Address selezionate:
DHCP Client:
Il PC interessato ricever sempre lo stesso indirizzo IP dal DHCP Server integrato nel dispositivo.
Fixed IP:
Il PC interessato utilizza lindirizzo IP statico indicato.
Nella sezione MAC Address selezionate:
Automatic discovery:
Utilizzando questopzione, al PC indicato verr associato lindirizzo MAC con il quale attualmente
presente in rete. (Deve essere collegato alla rete).
MAC address is:
Utilizzando questopzione possibile specificare lindirizzo MAC del PC; quindi possibile
aggiungere PC che non sono ancora fisicamente collegati alla rete.
Inserite il MAC address utilizzando i soli caratteri esadecimali (esempio 00c002ee4514)
Cliccate sul tasto Add as New Entry.
Per modificare un PC nel database selezionatelo dalla lista e cliccate sul tasto Edit, dopo aver modificato la
configurazione, cliccate sul tasto Update Selected PC.
Per cancellare un PC dal database selezionatelo dalla lista e cliccate sul tasto Delete.
4.10
Configurazione Avanzata
4.9.
ADMINISTRATION LOGS
In questa sezione possibile visualizzare e gestire linvio dei Log generati dal dispositivo.
View Log:
Send Log:
4.11
Configurazione Avanzata
Per abilitare questa funzione selezionate lopzione Turn E-mail notification On.
Inserite lindirizzo E-mail di destinazione nel campo Send to this E-mail Address.
Inserite lindirizzo SMTP per linvio della posta e se necessario i dati per effettuare lautenticazione al server di
posta nei rispettivi campi.
E-mail Alert:
E-mail Logs:
In questa sezione possibile pianificare linvio delle E-mail con i file di Log.
- Never. Linvio avviene solo premendo il tasto Send Log nella finestra di configurazione Logs.
- When Log is Full. Linvio avviene solo quando il file di Log ha raggiunto la dimensione massima.
- Hourly. Il Log viene inviato ogni ora.
- Daily. Il Log viene inviato ogni giorno, allora specificata nel campo Time seguente.
- Weekly. Il Log viene inviato una volta la settimana, nel giorno e nellora specificati nei campi
seguenti.
4.12
Configurazione Avanzata
Ping:
DNS Lookup:
Routing:
4.13
Configurazione Avanzata
4.14
Server VPN
5.
SERVER VPN
VPN (IPSEC)
5.1
Server VPN
Configurazione VPN
La regola generale che ognuno degli endpoint deve avere Policies corrispondenti:
Remote VPN address
Ogni endpoint VPN deve essere configurato per iniziare o accettare connessioni con il client o
gateway VPN remoto.
Solitamente ci richiede un indirizzo IP statico. Tuttavia un VPN Gateway pu accettare connessioni
in ingresso da un client remoto del quale non conosce lindirizzo IP.
Traffic Selector
Determina quale traffico uscente instaurer una connessione VPN e quale traffico entrante verr
accettato. Ognuno degli endpoint deve essere configurato per inviare ed accettare il traffico
dellendpoint remoto.
Se si interconnettono 2 LAN necessario che:
Ognuno degli endpoint deve conoscere gli indirizzi IP usati sullaltro endpoint.
Le due LAN devono utilizzare range di indirizzi IP differenti.
IKE parameters
Se si usa IKE (consigliato), le impostazioni IKE devono corrispondere (eccetto che per SA lifetime
che pu essere diverso).
IPsec parameters
Le impostazioni IPsec devono corrispondere su entrambi gli endpoint.
5.2
Server VPN
Router/Gateway
VPN Server
VPN Tunnel
In questa situazione un PC sulla LAN servita dal dispositivo, utilizza un software VPN. Il dispositivo non si comporta
come un VPN endpoint. Si limita a permettere trasparentemente il passaggio dei pacchetti di una connessione VPN.
Il software VPN del PC pu utilizzare un qualsiasi protocollo VPN supportato dal VPN server remoto.
Il VPN Server remoto deve supportare PC client che si trovano dietro ad un NAT router e che utilizzano indirizzi
IP che non sono validi su Internet.
Il dispositivo Router/Gateway non richiede alcuna configurazione VPN in quanto non si comporta come un VPN endpoint.
Client PC verso VPN Gateway
INTERNET
VPN Gateway
PC + VPN Software
VPN Tunnel
In questa situazione un PC deve utilizzare un software VPN appropriato per collegarsi via Internet al dispositivo
VPN Gateway. Una volta connesso il PC client avr le stesse possibilit di accesso alle risorse della LAN dei PC
fisicamente localizzati sulla LAN stessa (salvo restrizioni applicate dallamministratore).
IPsec non lunico protocollo che pu essere utilizzato in questa situazione, ma lunico supportato dal VPN Gateway.
Windows 2000 e Windows XP includono un programma client VPN Ipsec. La configurazione di questo client
descritta pi avanti.
Connessione di 2 LAN via VPN
192.168.0.xx
192.168.1.xx
INTERNET
VPN Gateway
VPN Gateway
VPN Tunnel
Questa situazione permette di collegare due reti LAN. I PC serviti dai due endpoint remoti avranno la possibilit di
sfruttare un accesso protetto alle risorse remote.
Le due LAN devono usare range di indirizzi IP differenti.
Le VPN Policies ai due estremi determinano quando una connessione VPN viene stabilita e quali risorse saranno
accessibili una volta stabilita la connessione VPN.
E possibile stabilire altre connessioni VPN simultanee verso molte destinazioni remote.
5.3
Server VPN
5.3.
Nella schermata principale del men di configurazione del Server VPN vengono elencate tutte le Policies configurate
sul dispositivo.
Nella prima colonna possibile selezionare una Policies, successivamente possibile modificarla (Edit) o cancellarla
(Delete).
Add Auto Policy:
Questo tasto permette la creazione di una nuova Policies utilizzando IKE per lo scambio di chiavi.
Add Manual Policies:
Questo tasto permette la creazione di una nuova Policies specificando manualmente tutte le
chiavi di crittografia.
VPN Status:
Mostra lo stato delle policies configurate.
5.3.1. ADD AUTO POLICY
Policy Name:
Address Type:
Address Data:
NetBIOS Enable:
5.4
Server VPN
In questa sezione necessario configurare gli indirizzi delle due reti (locale e remota) che possono utilizzare il
tunnel, possibile discriminare gli indirizzi in queste modalit:
Subnet address:
Specifica un gruppo di indirizzi IP identificati dalla Subnet Address.
Single Address:
Indica un unico Indirizzo IP.
Single PC no subnet:
questa opzione disponibile solo in Remote Lan ed indica un singolo PC, solitamente connesso
in Internet tramite Dial-Up e che quindi non dispone di Subnet.
Direction:
Responder Only abilita lattivazione del Tunnel solo a fronte di una richiesta dallesterno (obbligatoria
per connessioni con indirizzi dinamici)
Exchange Mode:
Indica il tipo di scambio di chiavi.
Diffie-Hellman (DH) Group: selezionate lo stesso gruppo su entrambi gli End-Point.
Local / Remote Identity Type: solitamente vengono utilizzati gli indirizzi IP per identificare gli EndPoint, in alternativa possibile
specificare un nome di domino o un nome utente.
Encryption:
Authentication:
Pre-shared Key:
SA Life Time:
Enable PFS:
5.5
Server VPN
Policy Name:
Address Type:
Address Data:
NetBIOS Enable:
In questa sezione necessario configurare gli indirizzi delle due reti (locale e remota) che possono utilizzare il
tunnel, possibile discriminare gli indirizzi in queste modalit:
Subnet address:
Specifica un gruppo di indirizzi IP identificati dalla Subnet Address.
Single Address:
Indica un unico Indirizzo IP.
Single PC no subnet:
questa opzione disponibile solo in Remote Lan ed indica un singolo PC, solitamente connesso
in Internet tramite Dial-Up e che quindi non dispone di Subnet.
SPI: inserite 3 caratteri esadecimali, SPI Incoming deve essere uguale a SPI Outgoing configurato nel Server
remoto e SPI Outgoing deve essere uguale a SPI Incoming configurato nel Server remoto.
Encryption:
selezionate lalgoritmo di crittografia da utilizzare nel tunnel Vpn.
Key:
indicate la chiave di crittografia.
Authentication:
selezionate lalgoritmo di crittografia da utilizzare nellattivazione del tunnel.
Key:
indicate la chiave di crittografia.
5.6