Voraussetzungen
Um die Schritte, die in dieser Anleitung beschrieben sind durchführen zu können, müssen folgende Voraussetzungen erfüllt sein:
- Teltonika RUT950 / RUT955 (ggf. auch RUT240, RUTX011 usw.) (der Setup-Wizard sollte abgeschlossen sein) (z.B. RUT950 U022C0)
- Ein aktivierter Test- oder bezalter IP-Tunnel-Zugang auf dem Server l2tpip.internet-xs.de bzw. 212.58.69.7
- Eine funktionsfähige SIM-Karte mit mind 1 GiByte Datenvolumen eines beliebigen Netzbetreibers / Anbieters / Tarif
Einschränkungen
- Der Teltonika RUT950 / RUT955 verwendet kein IPSec für die Verschlüsselung der Verbindung (Dienste, die Sie über den IP-Tunnel anbinden bleiben natürlich verschlüsselt, sofern sie eine Verschlüsselung wie TLS/IPSec o.Ä. verwenden)
- Die zu erwartende maximale Upload-/Download-Bandbreite beträgt bis zu 30 MBit/s (Beschränkt durch Prozessor-Leistung)
Sicherheitsvorkehrungen
- Vergeben Sie vor der Konfiguration ein sicheres Geräte-Passwort. Ihr Teltonika RUT950 ist nach Abschluss dieser Anleitung über eine öffentliche IP-Adresse aus dem weltweiten Internet erreichbar. Falls Sie ein unsicheres Geräte-Passwort verwenden, wird das Gerät innerhalb von Minuten von automatischen Angreifern übernommen.
- Betreiben Sie keine Dienste (z.B. Zugriff auf IP-Kamera / Webcam / Datenlogger) über unverschlüsselte Verbindungen. Der IP-Tunnel kann keine zusätzliche Verschlüsselung bereitstellen, da er nur ein Stück der Gesamtstrecke zwischen Ihrem Client (z.B. Smartphone) und dem anzubindenden Gerät (z.B. Smart-Home-Zentrale) abdeckt. Eine richtige Ende-zu-Ende-Verschlüsselung muss immer vom Client bis zum Server erfolgen, z.B. von dem Gerät, von dem Sie auf IP-Kameras / Datenlogger / Smart-Home-Zentrale zugreifen (z.B. Smartphone) bis zum angebundenen Gerät (z.B. Smart-Home-Zentrale) (z.B. mit HTTPS).
- Leiten Sie keine Port-Bereiche weiter sondern immer nur einzelne Ports (wenn möglich) und immer so spezifisch wie möglich (z.B. nur Port 80/TCP, nicht Port 80/TCP+UDP)
- Beachten Sie die Hinweise des Geräte-Herstellers zur Anbindung von IP-Kameras / Webcams / Datenloggern / Smart-Home-Zentralen an das Internet. Manche Hersteller (z.B. Homematic) weisen ausdrücklich darauf hin, dass die Web-Oberflächen ihrer Geräte nicht aus dem Internet erreichbar sein sollten.
Neue Client-Konfiguration erstellen
- Loggen Sie sich auf der Web-Oberfläche Ihres Teltonika RUT950 ein.
- Navigieren Sie zu Services > VPN
- Klicken Sie auf den Reiter L2TP
- Erstellen Sie eine neue Client-Konfiguration: Role: Client, New configuration name: ixsl2tp
- Klicken Sie auf Add New
Client-Konfiguration bearbeiten
- Klicken Sie in der soeben neu erstellten Zeile der Tabelle auf Edit
- Enable: Aktiviert
- Server: 212.58.69.7 oder l2tpip.internet-xs.de
- Username: Der Benutzername / Zugangskennung Ihres L2TP IP-Tunnel-Zugangs (z.B. ixs007-1234-a1b2c3d4)
- Password: Das zu Ihrem IP-Tunnel-Zugang zugehörige Passwort
- CHAP Secret (falls vorhanden): leer
- Keep alive: 30
- Default route: Aktiviert
- Klicken Sie auf Save.
Ihr Teltonika RUT950 / RUT955 sollte nach wenigen Minuten über die Ihrem L2TP IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse erreichbar sein:
z.B. http://212.58.83.XXX
Falls keine Verbindung hergestellt werden kann, klären Sie bitte mit Ihrem Netzbetreiber ab, ob L2TP-VPN-Pakete im Netz transportiert werden können.
Bei der ersten Verbindung mit dem Dienst kann es bis zu 20 Minuten dauern, bis Traffic in beide Richtungen möglich ist.
Port-Weiterleitungen konfigurieren
Falls Sie im LAN des RUT950 / RUT955 Geräte wie z.B. Datenlogger, IP-Kameras, Smart-Home-Zentralen usw. erreichbar machen möchten, müssen Sie für jeden Dienst jedes Geräts eine Port-Weiterleitung einrichten.
- Navigieren Sie zu Network > Firewall
- Klicken Sie auf den Reiter Port Forwarding
- Im Bereich New Port Forward Rule (ganz unten)
- Name: z.B. IP_CAM_80
- Protocol: Vorgegeben durch Ihr Gerät (z.B. TCP+UDP)
- External port (s): z.B. 8080 (kann vom “Internal Port” abweichen, sofern Ihr anzubindendes Gerät dies unterstützt)
- Internal IP: Wählen Sie die LAN-IP-Adresse des Geräts aus, das Sie mittels der Port-Weiterleitung erreichbar machen möchten (diese LAN-IP sollte auf dem erreichbar zu machenden Gerät fest eingetragen sein, d.h. als “statische LAN-IP”, z.B. 192.168.1.50
- Internal port (s): Vorgegeben durch Ihr Gerät (z.B. 80)
- Klicken Sie auf Add
- Klicken Sie in der Tabelle Port Forwarding Rules in der Zeile mit der soeben hinzugefügten Port-Weiterleitung auf Edit
- Wählen Sie als Source zone die Einstellung l2tp: l2tp: aus (hellgrün hinterlegt)
- Klicken Sie unten auf Save
Ihr Anzubindendes Gerät (IP-Kamera, Datenlogger usw.) sollte anschließend über die Ihrem IP-Tunnel-Zugang zugeteilte feste, öffentliche IPv4-Adresse unter Angabe des External port (s) erreichbar sein:
z.B. http://212.58.83.XXX:8080
Auto Reboot (optional, empfohlen)
Falls die Verbindung zum mobilen Datennetz oder dem IP-Tunnel-Server verloren geht, kann mittels einem konfigurierten Auto-Reboot das Gerät automatisch neu gestartet werden. Vor allem bei Geräten, die sich an entlegenen Standorten befinden, hat sich der Auto Reboot schon vielfach bewährt.
- Navigieren Sie zu Services > Auto Reboot
- Klicken Sie in der vorhandenen Zeile auf Edit
- Enable: Aktiviert
- No action on data limit: wenn möglich, deaktiviert
- Action if no echo is received: Reboot
- Interval between pings: 5 mins
- Ping timeout (sec): 5
- Packet size: 56
- Retry count: 3
- Interface: Automatically selected
- Host to ping: 212.58.83.1
- Klicken Sie auf Save
Fehlerdiagnose
- Bitte prüfen Sie alle Schritte der Konfigurationsanleitung. Anleitungen werden von uns getestet, bevor sie veröffentlicht werden. Wir verwenden diese Anleitungen selbst für die Konfiguration von Geräten, die wir an Kunden versenden.
- Ist das Gerät mit dem Mobilfunknetz verbunden?
- Stimmt die Uhrzeit auf dem Gerät?
- Speichern Sie die VPN-Konfiguration (Services > VPN) erneut ab, damit wird der Dienst neu gestartet.
- Starten Sie das Gerät neu, damit der Protokollringpuffer neu initialisiert wird. Falls Sie das Gerät vor Generierung der Protokolldaten nicht neu starten, können wir keinen Support leisten da die benötigten Startprotokolle fehlen.
- Navigieren Sie zu System > Administration > Reiter “Troubleshoot”
- Schicken Sie uns unter Angabe Ihres Benutzernamens und der zugeteilten IPv4-Adresse sowie einer genauen Fehlerbeschreibung folgende Daten an info@internet-xs.de
- System log: Show (Ausgabe per E-Mail zuschicken)
- Kernel log: Show (Ausgabe per E-Mail zuschicken)
- Include GSMD information: Aktivieren
- Include PPPD information: Aktivieren
- Include chat script information: Aktivieren
- Include network topology information”: Aktivieren
- Troubleshoot file: Download (Ausgabe per E-Mail zuschicken)