Technischer Support

Haben Sie es schon über HTTPS versucht? Wir haben die HTTP-Verbindung mit Version 4.4 der Firmware deaktiviert. Ihr Gerät sollte über eine HTTPS-Verbindung verfügbar sein.
Weitere Informationen zu diesem Thema finden Sie unter folgendem Link:
https://icom-os.releasenotes.io/release/gE5su-icom-os-v44

Das bedeutet, dass die Firewall des Routers die ICMP-Pakete blockiert. Erstellen Sie unter Netzfilter/IP-Filter eine neue Firewall-Regel mit der Paket-Richtung „Output“.
Wählen Sie ICMP als Protokoll und das gewünschte ausgehende Interface aus.

Wenn Sie Ihr Gerät mit dem Schnellstart-Assistenten konfiguriert haben, alle notwendigen Firewall-Regeln gesetzt haben und auch sonst keine Einstellungen fehlen, stellen Sie sicher, dass Sie unter Interfaces/LTE den richtigen Access Point Namen eingegeben haben.

Bei manchen Anbietern, wie zum Beispiel der Telekom, ist es sehr wichtig, einen richtigen APN-Eintrag zu haben, andernfalls wird die Verbindung blockiert.

Bis einschließlich Version 6.12 des icom OS unterstützen wir diesen Modus nicht und es ist derzeit auch nicht geplant, dieses Feature zu implementieren.

Das blinkende Zahnrad zeigt an, dass sich das im Router geöffnete Profil vom auf dem Router laufenden Profil unterscheidet. Mit einem Klick auf das Zahnrad wird das geöffnete Progil aktiviert, d.h. zum laufenden Profil gemacht. Siehe Profile für detaillierte Informationen.

In den Werkseinstellungen ist Port 1 der Karte in Slot 1 (ganz links) IP-Netz 1 (Konfigurationsnetz) zugeordnet (bei Routern mit 5-Port-Switch; bei Routern mit 2-Port-Switch ist Port ETH1 IP-Netz 1 zugeordnet). Dieses lokale Netz hat die statische IP-Adresse 192.168.1.1. Es ist für einen Zugriff auf den Router von einem Konfigurations-PC aus vorgesehen. In den Werkseinstellungen sind dazu auch Firewall-Regeln für den Zugriff über HTTP (Port 80) und HTTPS (Port 443) eingetragen.
Es wird empfohlen die IP-Netze 2-5 und die weiteren Ports für die Applikation zu verwenden, um einen lokalen Konfigurations-Zugriff auf den Router weiterhin zu ermöglichen. Sollten die Anforderungen der Applikation oder andere Umstände dies nicht ermöglichen, kann Port 1 wie auch die Ports 2-5 entsprechend konfiguriert werden und es ist anderweitig dafür Sorge zu tragen, dass ein Zugriff auf den Router im Notfall möglich ist.

Die interne Uhr des Routers sollte immer korrekt eingestellt sein, damit zeitabhängige Vorgänge auch zum gewünschten Zeitpunkt pünktlich ausgeführt werden, Systemmeldungen richtig datiert sind und Zertifikate in ihrem zeitlichen Gültigkeitsbereich liegen. Dazu empfiehlt sich eine regelmäßige Synchronisierung mit einem NTP (Network Time Protocol)-Server. Diese erfolgt durch die Aktion Uhr via NTP synchronisieren. Ausgelöst wird die Aktion durch ein regelmäßiges Ereignis, wie z.B. dem Ablauf eines Uhrzeit-Timers oder der Zustandsänderung eines Interfaces.

Der Schnellstart-Assistent erledigt alle erforderlichen Einstellungen, damit eine Synchronisierung der Uhrzeit immer dann durchgeführt wird, nachdem die entsprechende WAN-Kette online gegangen ist.

Um eine Synchronisierung zu einer bestimmten Uhrzeit zu erhallten, ist der Router wie folgt zu konfigurieren:

• Einen Timer des Typs Zeitpunkt mit einer täglichen Uhrzeit anlegen (Menü Ereignisse – Seite Timer)
• Ein Ereignis Timer ist abgelaufen dieses Timers mit der Aktion Uhr via NTP synchronisieren anlegen (Menü Ereignisse – Seite Ereignisse)

Weiterhin müssen unter anderem folgende Voraussetzungen erfüllt sein:

• Ein NTP-Server muss eingetragen sein (Menü Administration – Seite Zeit / Datum)
• Der NTP-Server muss erreichbar sein (über eine funktionierende WAN-Verbindung oder im lokalen Netz)
• Eine Default-Route muss eingetragen sein (Menü Routing – Seite Statische Routen)
• Eine IP-Filter-Regel muss angelegt sein, die NTP-Anfragen des Routers (Paket-Richtung: OUTPUT, Protokoll: UDP, Ziel-Port: 123) über das entsprechende WAN-Interface ermöglicht (Menü Netzfilter – Seite IP-Filter)

Der Router ermöglicht eine äußerst komplexe Konfiguration, um nahezu alle Anwendungsfälle maßgeschneidert abdecken zu können. Dies kann zu einer aufwendigen Fehlersuche – vor allem bei Konfigurationen, die Dritte erstellt haben – führen.

Eine komfortable Möglichkeit zur Fehlersuche bietet der Plausibilitäts-Check. Er dient in erster Linie dazu, klare Konfigurationslücken zu erkennen. Er kann nicht alle Konfigurationsfehler der Funktionen aufdecken. Dies gilt insbesondere für die IP-Filter- und NAT-Regeln.

Wenn eine erforderliche WAN-Kette nicht konfiguriert/gestartet/aktiv ist die darauf basierende Funktion nicht gegeben. Der Zustand der WAN-Ketten wird im Menü Status auf der Seite System Status angezeigt. Weitere Informationen zu den WAN-Ketten finden Sie in der Online-Hilfe.

Wenn Verbindungen nicht zustande kommen, kann dies an fehlenden oder falschen IP-Filter-Regeln (Firewall) liegen. Dies kann dadurch eingegrenzt werden, indem die IP-Filter im Menü Netzfilter auf der Seite IP-Filter temporär deaktiviert werden.

Im Gegensatz zu einem lokalen Netz (LAN) wird eine WAN-Verbindung nicht sofort gestartet. Eine WAN-Verbindung wird dann aufgebaut, wenn eine WAN-Kette, die das entsprechende WAN-Interface enthält, gestartet wird. Der Zustand der vorhandenen WAN-Kette wird im Menü Status auf der Seite System-Status angezeigt.

Für eine funktionierende WAN-Verbindung müssen folgende Voraussetzungen erfüllt sein:

• Bei einer Ethernet-Verbindung muss das entsprechende IP-Netz aktiviert sein (Menü Interfaces – Seite IP-Netz [x])
• Bei einer Mobilfunkverbindung muss das entsprechende Modem-Interface richtig konfiguriert sein (Menü Interfaces – Seite Slot [x]: [Modem])
• Das WAN-Interface muss in einer WAN-Kette enthalten sein (Menü WAN – Seite WAN-Ketten)
• Enthält die WAN-Kette mehrere Interfaces, müssen alle betriebsbereit sein, damit die WAN-Kette gestartet werden kann
• Sind mehrere WAN-Ketten vorhanden, sind Reihenfolge und im Fehlerfall zu startende WAN-Ketten entscheidend

Im Folgenden wird erklärt, wie einer bestehenden Konfiguration ein weiteres WAN-Netzwerk hinzugefügt wird und was dabei zu beachten ist.

• IP-Netz definieren
  Menü Interfaces – Seite IP-Netz [x]
  Markieren Sie die Checkbox Netzwerk aktivieren
  Geben Sie eine Beschreibung ein
  Wählen Sie die Betriebsart WAN (dadurch wird das Interface erst in einer WAN-Kette gestartet)
  Für die Zuweisung der IP-Adresse gibt es zwei Optionen:
  • Markieren Sie die Checkbox DHCP-Client starten (wenn das WAN-Netzwerk die IP-Einstellungen von einen DHCP-Server beziehen soll)
    ODER
  • Klicken Sie auf + , um eine statische IP-Adresse (mit Netzmaske) für das WAN-Netzwerk hinzuzufügen

Klicken Sie auf Einstellungen speichern

• Ethernet-Port zuweisen
  Menü Interfaces – Seite Slot [x]: Ethernet
  Weisen Sie dem WAN-Netzwerk den gewünschten Port zu, indem Sie dort das WAN-Netzwerk auswählen
  Klicken Sie auf Einstellungen speichern
• WAN-Kette definieren
  Menü WAN – Seite WAN-Ketten
  Klicken Sie auf + , um eine neue WAN-Kette hinzuzufügen
  Geben Sie eine Beschreibung für die neue WAN-Kette ein
  Klicken Sie bei der neuen WAN-Kette auf + , um ein Interface hinzuzufügen
  Klicken Sie auf das Stiftsymbol, um das Interface zu bearbeiten
  Wählen Sie das oben erstellte WAN-Netzwerk als Interface aus
  Wählen Sie die im Fehlerfall zu startende WAN-Kette aus
  Klicken Sie auf Einstellungen speichern
• Reihenfolge der WAN-Ketten definieren (wenn mehr als eine WAN-Kette existiert)
  Menü WAN – Seite WAN-Ketten
  Verschieben Sie ggf. die neu erstellte WAN-Kette nach oben, indem Sie rechts auf ^ klicken
  Passen Sie ggf. bei bereits existierenden WAN-Ketten die im Fehlerfall zu startende WAN-Kette an
  Klicken Sie auf Einstellungen speichern
• Statische Routen definieren
  Menü Routing – Seite Statische Routen
  Klicken Sie auf + , um eine neue statische Route hinzuzufügen
  Geben Sie eine Beschreibung für die neue statische Route ein
  Wählen Sie das oben erstellte WAN-Netzwerk als Interface aus
  Für die Festlegung der Adresse des Gateway gibt es zwei Optionen:
  • Wählen Sie für das Gateway die Option dynamisch erhaltene IP-Adresse verwenden aus
    ODER
  • Geben Sie eine statische IP-Adresse für das Gateway ein (wenn der DHCP-Client oben nicht gestartet wurde)

Klicken Sie auf Einstellungen speichern

• IP-Filter (Firewall-Regeln) definieren
  Menü Netzfilter – Seite IP-Filter
  Je nachdem, ob bereits ein WAN-Netzwerk vorhanden ist, empfehlen sich zwei Vorgehensweisen:
  • Fügen Sie das neue WAN-Netzwerk allen bestehenden Regeln hinzu, die bereits ein WAN-Interface enthalten
    ODER
  • Fügen Sie selektiv neue Filterregeln für das neue WAN-Netzwerk hinzu

Klicken Sie auf Einstellungen speichern

• NAT-Regeln definieren
  Menü Netzfilter – Seite NAT
  Je nachdem, ob bereits ein WAN-Netzwerk vorhanden ist, empfehlen sich zwei Vorgehensweisen:
  • Fügen Sie das neue WAN-Netzwerk allen Regeln hinzu, die bereits eine WAN-Kette enthalten
    ODER
  • Fügen Sie eine Source-NAT-Regel vom Typ Masquerade für alle Protokolle für das neue WAN-Netzwerk hinzu

Klicken Sie auf Einstellungen speichern

Es kann aus Sicherheitsgründen hilfreich sein, eine IP-Version (IPv4 oder IPv6) komplett für den Datenverkehr zu sperren. Gehen Sie dazu wie folgt vor:

• Die IP-Filter (Firewall) der zu sperrenden IP-Version aktivieren (Menü Netzfilter – Seite IP-Filter)
• Alle IP-Filter-Regeln so präzisieren, dass sie die entsprechende IP-Version ausschließen; zum Beispiel durch Angabe der IP-Adresse nur in der zugelassenen IP-Version (Menü Netzfilter – Seite IP-Filter)

Um eine Meldung per E-Mail im Rahmen einer Aktion versenden zu können, ist es erforderlich das E-Mail-Konto im Router zu konfigurieren und entsprechende Netzfilterregeln anzulegen.

Die Konfiguration des E-Mail-Kontos erfolgt im Menü Ereignisse auf der Seite E-Mail-Konto. Hilfreiche Hinweise dazu finden Sie in der Inline-Hilfe dieser Seite, die mit einem Klick auf ? Hilfetexte anzeigen eingeblendet wird.

Bei aktivierten Netzfiltern ist es erforderlich, folgende Netzfilterregel anzulegen, um den E-Mail-Versand zu ermöglichen:

• Beschreibung: E-Mail dispatch (Vorschlag)
• Paket-Richtung: OUTPUT
• Protokoll: TCP
• Ausgehendes Interface: verwendetes WAN-Interface, z.B. lte2 oder net3
• Absender-Port: (Feld bleibt leer)
• Ziel-IP-Adresse: (Feld bleibt leer)
• Ziel-Port: der im Menü Ereignisse auf der Seite E-Mail-Konto eingestellte SMTP-Port

Ist der SMTP-Server des E-Mail-Kontos in Form eines Domain-Namens angegeben, ist es erforderlich, folgende Netzfilterregel anzulegen, um eine DNS-Auflösung zu ermöglichen:

• Beschreibung: DNS queries sent by the router (Vorschlag)
• Paket-Richtung: OUTPUT
• Protokoll: UDP
• Ausgehendes Interface: verwendetes WAN-Interface, z.B. lte2 oder net3
• Absender-Port: (Feld bleibt leer)
• Ziel-IP-Adresse: (Feld bleibt leer)
• Ziel-Port: 53

Wenn ein Container unter seiner IP-Adresse nicht erreichbar ist, ist es hilfreich folgende Einstellungen zu prüfen:

• Im Menü Administration auf der Seite Container:
  • Ist der Container vorhanden und aktiv?
  • Verfügt der Container über eine Konfiguration?
  • Benötigt der Container eine Lizenz um erreichbar zu sein?
• Im Menü Administration auf der Seite Container die Konfiguration des Containers bearbeiten ():
  • Verfügt der Container über eine Bridge ins richtige IP-Netz?
  • Ist für den Container die richtige IP-Adresse konfiguriert?
  • Benötigt der Container zur Funktion eine bestimmte Benutzergruppe?
• Sind im Menü Netzfilter auf der Seite IP-Filter die IP-Filter aktiviert? Wenn ja, können diese zur Fehlersuche kurzfristig deaktiviert werden. Ist der Container dann erreichbar, fehlt eine IP-Filter-Regel, die den Zugriff auf den Container erlaubt.

Ja, das ist möglich. Wenn dem anderen Gerät jedoch eine Funktion wie z.B. DSL oder LTE fehlt, werden diese Einstellungen beim Import übersprungen.

Bezüglich dieses Themas, hätten wir eine schriftliche Konfigurationsanleitung:

https://docs.insys-icom.de/pages/de_m3_internet_via_lte_v2.html

und sogar ein YouTube-Tutorial-Video für Sie:

https://youtu.be/LrpfR1HnTIU

Dies liegt daran, dass Sie versuchen, auf einen nicht vorhandenen Eintrag zuzugreifen.

Jeder Eintrag, beispielsweise eine Netzfilter-Regel, hat eine eigene Indexnummer.

In diesem Fall versuchen Sie, auf das 6. Element der Liste zuzugreifen, aber es sind nur 5 Elemente vorhanden.

1. Entweder korrigieren Sie den Index des Eintrags in den eckigen Klammern, z. B. [5] -> [6]
2. oder fügen Sie die richtige Anzahl an Elementen zu Ihrer ASCII-Datei hinzu, z.B. mit „netfilter.ip_filter.rule.add“

1, WAN-Verbindung herstellen. In diesem Schritt wird die Internetverbindung eingerichtet. Schlägt dies fehl, konnte unser Router die Verbindung nicht aufbauen. Stellen Sie sicher, dass in Ihrem lokalen Netzwerk die erforderlichen Voraussetzungen gegeben sind bzw. die SIM-Karte ordnungsgemäß eingelegt und aktiviert ist.
2. Sichere Verbindung zum Server aufbauen. Dieser Schritt verbindet den Router mit dem icom Connectivity Suite – VPN-Dienst. Dieser Schritt kann fehlschlagen, wenn die Firewall-Einstellungen Ihres LAN-Netzwerks, die für die Verbindung erforderlichen Ports und IP-Adressen blockieren. Bitte wenden Sie sich an Ihren Netzwerkadministrator und stellen Sie sicher, dass alle für die Verbindung erforderlichen Ports geöffnet sind.
3, Konfiguration abholen. Wenn dies fehlschlägt, haben Sie möglicherweise den falschen Gerätetyp ausgewählt, den falschen Gerätecode eingegeben oder die falsche Seriennummer für das Gerät registriert.
4, Konfiguration anwenden. Dieser Schritt schlägt selten fehl, allerdings gab es in der icom OS-Firmware-Version 5.8 einen Fehler, der dazu führte, dass die Profilaktivierung bei einer Geräteverfügbarkeit von 24 Tagen nicht möglich war. Bitte wenden Sie sich an unser Support-Team unter support@insys-icom.de, wenn dies nicht der Fall ist und dieses Problem bei Ihnen auftritt.

Dies bedeutet im Allgemeinen einen DNS-Fehler, jedoch kann auch ein Routingkonflikt zu diesem Fehler führen:

– Ist der OpenVPN-Server online und über seinen Domainnamen erreichbar? Fragen Sie Ihren Provider oder Netzwerkadministrator.

– Stellen Sie sicher, dass die DNS-Einstellungen Ihres Insys-Geräts korrekt sind und DNS-Anfragen gestellt werden dürfen.

– Haben Sie 2 oder mehr Schnittstellen im gleichen IP-Bereich konfiguriert? Selbst wenn sich net2 und net3 im selben IP-Bereich befinden, funktioniert die OpenVPN-Verbindung nicht und Sie erhalten diese Fehlermeldung.

Ja, es ist möglich.

– Erstellen Sie unter Netzfilter/NAT eine neue Destination-NAT-Regel.

– Konfigurieren Sie als Typ „Portforward“, Ihr gewünschtes Protokoll, das eingehende Interface, und zuletzt Ihre gewünschte IP und Portnummer.

– Falls Ihre Firewall aktiv ist, erstellen Sie unter Netzfilter/IP-Filter eine neue Firewall-Regel.
– Wählen Sie „FORWARD“ als Paket-Richtung und das Protokoll aus und konfigurieren Sie Ihr Ein- und Ausgehendes Interface. Sehr wichtig ist, dass Sie Ihren Zielport festlegen und die IP-Adresse mit einer Subnetzmaske von /32 eintragen.

Wir haben einen sehr detaillierten Konfigurationsanleitung für Sie zu diesem Thema.

Die Anleitung enthält ein Schritt-für-Schritt-Tutorial zum Konfigurieren von 1-zu-1-NAT mithilfe unserer icom-OS-Geräte, und sogar einige Tipps zur Fehlersuche:

https://docs.insys-icom.de/pages/de_m3_ip_forwarding.html

Falls Ihr Gerät eine momentane Firmwareversion mit 1.x.x beginnend besitzt ist das Update nicht möglich!
Bei großen Versionssprüngen sind Zwischenupdates notwendig. Diese Updates sind beim INSYS-Support erhältlich:

• Falls Ihr Gerät eine momentane Firmwareversion mit mindestens 2.0.0, aber älter als 2.2.0 besitzt, muss

zuerst ein Zwischenupdate auf 2.2.1, dann auf 2.6.2 durchgeführt werden.

• Falls Ihr Gerät eine momentane Firmwareversion mit mindestens 2.2.0, aber älter als 2.6.0 besitzt, muss

zuerst ein Zwischenupdate auf 2.6.2 durchgeführt werden.

Wir haben keine vollständige Liste, da das icom-Betriebssystem in der CLI dieselben Befehle verwendet, die Sie in Ihrem ASCII-Profil finden.

Wir haben jedoch ein Video-Tutorial zu diesem Thema:

https://youtu.be/gM50eDTLH7w

und sogar eine schriftliche Konfigurationsanleitung in jedem Router unter „Hilfe/Dokumentation/Online-Hilfe/Kommandozeilenschnittstelle (CLI)“.