FEC Onlineservices
 
IPSec Verbindung zwischen einem Apple iPhone und einem bintec Router - Konfiguration: Setup Tool
Diese FAQ beschreibt die Konfiguration einer IPSec Verbindung zwischen einem Apple iPhone / iPad (in der FAQ generell als iPhone bezeichnet) und einem bintec R3000. Im Beispiel wurde die Software Version 7.8.7 verwendet. Andere bintec Router mit vergleichbaren Softwareversionen sind identisch bzw. analog zu konfigurieren.




1. Szenario



2. Voraussetzungen
 
  • der bintec Router Router ist über das Internet erreichbar (z.B. ihrname.dyndns.org)
  • auf dem bintec Router ist die Software Version 7.8.7
  • auf dem iPhone ist mindestens die Software Version 2.0 installiert


  • 3. Konfiguration bintec Router
    Die folgenden zwei Screenshots zeigen beispielhafte IPSec Einstellungen für die Phase 1 und Phase 2:

    R3000 Setup Tool                       Funkwerk Enterprise Communications GmbH
    [IPSEC][PEERS][EDIT][SPECIAL][PHASE1][EDIT]                              r3000
    _______________________________________________________________________________

       Description (Idx 1) :    *autogenerated*
       Proposal              :  19 (AES/MD5)
       Lifetime Policy       :  Propose this lifetime,accept and use all proposals
                                Seconds: 28800       KBytes: 0

       Group                 :  2 (1024 bit MODP)
       Authentication Method :  Pre Shared Keys
       Mode                  :  aggressive
       Alive Check           :  Dead-Peer-Detection (DPD), Idle Mode
       Block Time            :  30
       Local ID              :  vpn
       Local Certificate     :  none
       CA Certificates       :
       Nat-Traversal         :  enabled

       View Proposals >

                             SAVE                          CANCEL
    _______________________________________________________________________________
    Einstellungen für die Phase 1
    Bitte beachten Sie, dass vom iPhone nicht alle Cipher und Hash Methoden unterstützt werden! Erfolgreich getestete Kombinationen sind zum Beispiel: AES/MD5, AES/SHA1, DES/MD5, DES3/MD5

    Als Alive Check ist für DPD unbedigt der Idle Mode zu wählen!


    R3000 Setup Tool                       Funkwerk Enterprise Communications GmbH
    [IPSEC][PEERS][EDIT][SPECIAL][PHASE2][EDIT]                              r3000
    _______________________________________________________________________________

       Description (Idx 1) :    *autogenerated*

       Proposal              :  23 (ESP(AES/MD5))
       Lifetime Policy       :  Propose this lifetime,accept and use all proposals
                                Seconds: 14400       KBytes: 0

       Use PFS               :  none
       Alive Check           :  none
       Propagate PMTU        :  yes

       View Proposals >

     
     
                             SAVE                          CANCEL
    _______________________________________________________________________________
    Einstellungen für die Phase 2.
    Bitte beachten Sie, dass das iPhone nur ESP, kein AH unterstützt.


    Es ist ein neuer IPSec Peer anzulegen.

    Achtung! Ab Software Version 7.10.1 ist die Peer ID unbedingt in geschweifte Klammern { } zu setzen, als Kennzeichen für den Peer-ID Typ "Schlüssel-ID". Im vorliegenden Beispiel also {iphone}.

    R3000 Setup Tool                        Funkwerk Enterprise Communications GmbH
    [IPSEC][PEERS][EDIT]: Configure Peer                                   r3000
    _______________________________________________________________________________


         Description:       iphone
         Admin Status:      up

         Peer Address:
         Peer IDs:          iPhone
         Pre Shared Key:    *

         IPSec Callback >
         Peer specific Settings >

         Virtual Interface: yes
         Interface IP Settings >

     
    Des Weiteren muss ein Xauth Profile angelegt und ausgewählt werden. Wählen Sie dazu innerhalb des neuen Peers unter Peer specific Settings > XAUTH Profile:  edit > ADD

    R3000 Setup Tool                       Funkwerk Enterprise Communications GmbH
    [IPSEC][PEERS][EDIT][SPECIAL][XAUTH][EDIT]                               r3000
    _______________________________________________________________________________

       Index                  : 1
       Description            : xauth4iphone
       Role                   : server
       Mode                   : local

       UserListGroupId        : 1

       View UserList >
     

                             SAVE                          CANCEL
    _______________________________________________________________________________
    Über "View UserList" und "ADD" fügen Sie bitte einen User hinzu.

    R3000 Setup Tool                       Funkwerk Enterprise Communications GmbH
    [IPSEC][PEERS][EDIT][SPECIAL][XAUTH][EDIT][ULIST][EDIT]                  r3000
    _______________________________________________________________________________


       Name      : iphone
       Password  : *
       GroupId   : 1

     

     


                             SAVE                          CANCEL
    _______________________________________________________________________________
    XAuth Einstellungen User

    Außerdem muss der IKE Config Mode in den IP Settings gewählt werden (unter "Interface IP Settings > Basic IP-Settings" ):

    R3000 Setup Tool                       Funkwerk Enterprise Communications GmbH
    [IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings (iphone)                    r3000
    _______________________________________________________________________________


      IP Transit Network                    IKE Config Mode


      Local IP Address                      2.2.2.100


      IP Address Pool                        2.2.2.200


                        SAVE                               CANCEL
    _______________________________________________________________________________
    Der "IP Address Pool" muss dabei vorher unter "IP > IP Address Pools > Pools" angelegt worden sein.

    Bitte beachten Sie, dass Sie den DNS Server für Ihre Internetverbindung im Pool angeben müssen, sonst haben Sie mit dem iPhone keine Verbindung mehr ins Internet.
    Möchten Sie dem iPhone/iPad eine IP-Adresse aus dem Subnetz des Router-LANs zuweisen, so ist im IPSec-Peer (unter Interface IP Settings, Advanced Settings) zusätzlich noch Proxy ARP zu aktivieren - und dementsprechend natürlich auch am LAN-Interface des Routers. Verwenden Sie ein anderes Subnetz (wie im vorliegenden Beispiel), so bleibt Proxy ARP inaktiv.


    4. Konfiguration des Apple iPhone
    Wählen Sie die Optionen: "Einstellungen" ->" Allgemein" -> "Netzwerk" -> "VPN" -> "VPN-Konfiguration hinzufügen".
    Es gibt die Optionen L2TP, PPTP und IPSec. Hier ist "IPSec" zu wählen.


    Beschreibung: Eingabe des Verbindungsnamens, z.B. "IPSec Tunnel"
    Server: die Adresse des bintec Routers im Internet, z.B. "ihrname.dyndns.org"
    Account: Name des XAUTH Profil-Users z.B. "iPhone"
    Kennwort: Passwort des XAUTH Profil-Users, z.B. "Test123"
    Gruppenname: Achtung! Es handelt sich um die Peer ID des IPSec Peers
    Shared Secret: geben Sie Ihren PreShared Key ein, z.B. "Test123"


    5. VPN-IPSec Tunnel Aufbau
    Wählen Sie im Untermenü
    "Einstellungen" -> "Allgemein" -> "Netzwerk" -> "VPN" ihre gerade konfigurierte VPN Verbindung aus.


    Aktivieren Sie den Button VPN. Damit startet das Apple iPhone den Aufbau des IPSec VPN Tunnels.


    6. Status VPN-IPSec Verbindung & Ausgabe des Debug


    10:39:04 DEBUG/IPSEC: P1: peer 0 () sa 4 (R): new ip 84.149.177.xxx <- ip 80.187.108.xxx
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '4a131c81070358455c5728f20e95452f'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '4df37928e9fc4fd1b3262170d515c662'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '8f8d83826d246b6fc7a8a6a428c11de8'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '439b59f8ba676c4c7737ae22eab8f582'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '4d1e0e136deafa34c4f3ea9f02ec7285'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '80d0bb3def54565ee84645d4c85ce3ee'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '9909b64eed937c6573de52ace952fa6b'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is '12f5f28c457168a9702d9fe274cc0100'
    10:39:04 INFO/IPSEC: P1: peer 0 () sa 4 (R): Vendor ID: 80.187.108.xxx:17369 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
    10:39:04 DEBUG/IPSEC: P1: peer 1 (iPhone) sa 4 (R): identified ip 84.149.177.xxx <- ip 80.187.108.xxx
    10:39:05 DEBUG/IPSEC: P1: peer 1 (iPhone) sa 4 (R): [Aggr] NAT-T: port change: local: 84.149.177.xxx:500->84.149.177.xxx:4500, remote: 80.187.108.xxx:17369->80.187.108.xxx:54225
    10:39:05 INFO/IPSEC: XAUTH: peer 1 (iPhone) sa 4 (I): request extended authentication
    10:39:05 INFO/IPSEC: P1: peer 1 (iPhone) sa 4 (R): done id fqdn(any:0,[0..2]=vpn) <- id key_id(any:0,[0..5]=69 50 68 6f 6e 65 ) AG[1bfe322b 3b30d1eb : 2cd08398 369e4640]
    10:39:05 DEBUG/IPSEC: P1: peer 1 (iPhone) sa 4 (R): Notify "Initial contact notification" from 80.187.108.xxx:54225 for protocol ISAKMP spi[16]=1BFE322B
    10:39:05 INFO/IPSEC: XAUTH: peer 1 (iPhone) sa 4 (I): extended authentication for user 'iPhone' succeeded
    10:39:05 INFO/IPSEC: CFG: peer 1 (iPhone) sa 4 (R): request for ip address received
    10:39:05 INFO/IPSEC: CFG: peer 1 (iPhone) sa 4 (R): ip address 2.2.2.200 assigned
    10:39:06 INFO/IPSEC: P2: peer 1 (iPhone) traf 0 bundle 1 (R): created 0.0.0.0/0:0 < any > 2.2.2.200/32:0 rekeyed 0
    10:39:06 DEBUG/IPSEC: P2: peer 1 (iPhone) traf 0 bundle 1 (R): SA 1 established ESP[12428bb9] in[0] Mode tunnel enc aes-cbc (256 bit) auth md5 (128 bit)
    10:39:06 DEBUG/IPSEC: P2: peer 1 (iPhone) traf 0 bundle 1 (R): SA 2 established ESP[09d8cd88] out[0] Mode tunnel enc aes-cbc (256 bit) auth md5 (128 bit)
    10:39:06 INFO/IPSEC: Activate Bundle 1 (Peer 1 Traffic -1)
    10:39:06 INFO/IPSEC: P2: peer 1 (iPhone) traf 0 bundle 1 (R): established  (84.149.177.xxx<->80.187.108.xxx) with 2 SAs life 3600 Sec/0 Kb rekey 3240 Sec/0 Kb Hb none
    10:39:10 DEBUG/IPSEC: IKE_DELETE_PAYLOAD_RECEIVED: 20090612103910:   Source addr:84.149.177.xxx  Destination addr:80.187.108.xxx  SPI:0x40469e369883d02cebd1303b2b32fe1b  Description:Received delete notification
    10:39:10 INFO/IPSEC: CFG: peer 1 (iPhone) sa 4 (R): ip address 2.2.2.200 released

    lm

    © 2013 bintec elmeg GmbH