CWMP mit LANconfig einrichten

In LANconfig konfigurieren Sie das CPE WAN Management Protokoll unter Management > CWMP.





CWMP aktiviert
Aktiviert oder deaktiviert das CWMP.
ACS-URL
Bestimmen Sie hier die Adresse des ACS (Auto Configuration Server), mit dem sich das CPE (Customer Premises Equipment) verbindet. Die Eingabe der Adresse erfolgt im IPv4-, IPv6- oder FQDN-Format. Erlaubt sind HTTP und HTTPS, wobei der Einsatz von HTTPS zu bevorzugen ist, da die Geräte ansonsten gerätespezifische Parameter wie Passwörter oder Zugangsdaten unverschlüsselt übertragen. Vor dem Einsatz von HTTPS müssen Sie das vertrauenswürdige Stammzertifikat zur Überprüfung der Serveridentität in das Gerät laden.
ACS-Benutzername
Vergeben Sie einen Benutzernamen, den das Gerät zur Verbindung mit dem ACS (Auto Configuration Server) verwendet.
ACS-Passwort
Vergeben Sie ein Passwort, das das Gerät zur Verbindung mit dem ACS (Auto Configuration Server) verwendet.
Fern-Administrator
Wählen Sie einen der konfigurierten Geräte-Administratoren, den der ACS (Auto Configuration Server) beim Verbindungs-Aufbau zu diesem Gerät verwenden soll. Der ausgewählte Name muss ein aktivierter Geräte-Administrator mit entsprechenden Rechten sein, d.h., er muss Root-Zugriff zum Ändern der Firmware besitzen.
Absende-Adresse
Hier können Sie optional eine Absendeadresse konfigurieren, die statt der ansonsten automatisch für die Zieladresse gewählten Absendeadresse verwendet wird. Falls Sie z. B. Loopback-Adressen konfiguriert haben, können Sie diese hier als Absendeadresse angeben.
Anmerkung: Sofern die hier eingestellte Absendeadresse eine Loopback-Adresse ist, verwendet das Gerät diese auch auf maskiert arbeitenden Gegenstellen unmaskiert.
Als Adresse akzeptiert das Gerät verschiedene Eingabeformate:
  • Name des IP-Netzwerkes (ARF-Netz), dessen Adresse eingesetzt werden soll.
  • "INT" für die Adresse des ersten Intranets.
  • "DMZ" für die Adresse der ersten DMZ (Achtung: Wenn es eine Schnittstelle Namens "DMZ" gibt, dann nimmt das Gerät deren Adresse).
  • LB0 ... LBF für eine der 16 Loopback-Adressen oder deren Name.
  • Eine beliebige IP-Adresse in der Form x.x.x.x.
Periodisches Inform aktiviert
Aktiviert oder deaktiviert das Senden von periodischen Inform-Nachrichten vom Gerät zum ACS (Auto Configuration Server).
Periodisches Inform-Intervall
Dies ist das Intervall in Sekunden zwischen zwei durch das Gerät zum ACS (Auto Configuration Server) eingeleiteten periodischen Inform-Nachrichten. Der ACS erfragt daraufhin weitere Informationen vom Gerät. Der Standard-Wert beträgt 1200 Sekunden, d. h. 20 Minuten. Wählen Sie diesen Wert nicht zu klein, da Inform-Nachrichten einen erhöhten Netzwerk-Verkehr verursachen. Das Intervall startet nicht, bevor Gerät und Server alle Informationen ausgetauscht haben.
Datei-Übertragung erlauben
Dieser Schalter erlaubt die Übertragung einer Firmware oder einer Skript-Datei vom ACS (Auto Configuration Server) zu diesem Gerät.
Firmware-Updates verwalten
Dieser Schalter erlaubt dem ACS (Auto Configuration Server), Firmware-Änderungen am Gerät vorzunehmen.
Ändern des Benutzernamens erlauben
Dieser Schalter erlaubt dem ACS (Auto Configuration Server), den Geräte-Administrator zu wechseln oder den Namen und das Passwort des Geräte-Administrators, den er zur Verbindung mit dem Gerät verwendet, zu ändern.

Standardmäßig wird für die Connection-Request-URL der HTTP-Port 80 verwendet. Diesen konfigurieren Sie im LANconfig unter Management > Admin im Abschnitt Management-Protokolle unter Ports.





Damit ein ACS das Gerät zum Verbindungsaufbau auffordern kann, muss der Zugriff über WAN oder VPN auf den entsprechenden HTTP-Port möglich sein. Dazu muss der Zugriff im LANconfig unter Management > Admin im Abschnitt Konfigurations-Zugriffs-Wege unter Zugriffs-Rechte > von einer WAN-Schnittstelle entweder auf WAN oder VPN freigeschaltet werden.





Wenn IPv6 verwendet wird, muss in der IPv6-Firewall unter Firewall/QoS > IPv6-Regeln > IPv6-Inbound-Regeln zusätzlich der Zugriff auf den entsprechenden Port erlaubt werden.





Anmerkung: Der Connection-Request ist nur über eine Authentifizierung per Benutzername und Passwort möglich.
Bei der Verwendung von HTTPS in der ACS-URL validiert das CPE das ACS-Zertifikat. Dazu speichern Sie zuvor das CWMP Root-CA-Zertifikat im CPE. Kann das CPE das Serverzertifikat nicht gegen das vorhandene Root-CA-Zertifikat validieren, so lehnt es die Verbindung ab. Der Zertifikatsupload erfolgt entweder durch LANconfig oder WEBconfig. In LANconfig gehen Sie dazu wie folgt vor:
  1. Rechtsklicken Sie in der Geräteübersicht das entsprechende Gerät und wählen Sie unter Konfigurationsverwaltung den Menüpunkt Zertifikat oder Datei hochladen.




  2. Wählen Sie im folgenden Dialog als Zertifikattyp "CWMP-Root-CA-Zertifikat" aus und klicken Sie auf Öffnen.




    Bei der Verwendung von SSL/TLS zur CPE-Authentifizierung laden Sie das Client-Zertifikat und den privaten Schlüssel per PKCS#12-Datei (CWMP-Container als PKCS#12-Datei) in das CPE.