IPSec Verbindung mit "IKEv1" - Apple iPhone / iPad - bintec Router: Unterschied zwischen den Versionen

Aus bintec elmeg Support-Wiki / FAQ

Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „IPSec Verbindung zwischen einem Apple iPhone / iPad und einem bintec Router - Konfiguration: GUI (Weboberfläche) Diese FAQ beschreibt die Konfiguration über…“)
(kein Unterschied)

Version vom 7. März 2016, 17:00 Uhr

IPSec Verbindung zwischen einem Apple iPhone / iPad und einem bintec Router - Konfiguration: GUI (Weboberfläche)

Diese FAQ beschreibt die Konfiguration über die GUI von einer IPSec Verbindung zwischen einem Apple iPhone / iPad (in der FAQ generell als iPhone bezeichnet) und einem bintec RS353jw. Im Beispiel wurde die Software Version 9.1 Rev. 12 Patch 4 verwendet. Andere bintec Router mit vergleichbaren Softwareversionen sind identisch bzw. analog zu konfigurieren.


Szenario

Szenario

Voraussetzungen

  • bintec Router ist über das Internet erreichbar (z.B. ihrname.dyndns.org)
  • auf dem bintec ist mindestens die Software Version 7.8.7
  • auf dem iPhone ist mindestens die Software Version 2.0 installiert

Konfiguration bintec Router

Als erstes muss ein IP Pool für IPSec Clients angelegt werden.
Dies erfolgt in der GUI unter VPN -> IPSec -> IP Pools

Anlegen des IP Pools

Des Weiteren muss ein Xauth Profil angelegt werden. Wählen Sie dazu den Menüpunkt "XAUTH Profile".

Als Rolle ist Server zu wählen, als Modus Lokal. Für jeden Benutzer / iPhone ist ein seperater Name mit Passwort hinzuzufügen.

Anlegen des XAuth Profils

Einstellungen für die Phase 1
Bitte beachten Sie, dass vom iPhone nicht alle Cipher und Hash Methoden unterstützt werden! Erfolgreich getestete Kombinationen sind zum Beispiel: AES/MD5, AES/SHA1, DES/MD5, DES3/MD5.

In den erweiterten Einstellungen ist als Erreichbarkeitsprüfung unbedingt "Dead Peer Detection Idle" zu wählen sowie NAT-Traversal zu aktivieren.

Anlegen des Phase 1 Profils

Bitte beachten Sie, dass das iPhone nur ESP, aber kein AH unterstützt.
Die Option "PFS-Gruppe verwenden" muss inaktiv sein.

Anlegen des Phase 2 Profils

Nun können Sie den IPSec-Peer anlegen.

Achtung! Bei der Peer-ID ist ab Software Version 7.10.1 zwingend der Typ "Schlüssel-ID" zu verwenden.

Bitte wählen Sie "Server für den IKE-Konfigurationsmodus" als Adressvergabe und wählen Sie den angelegten IP Adress Pool aus. In den Erweiterten Einstellungen sind die beiden gerade angelegten Phase-1 und Phase-2 Profile zu wählen sowie das XAUTH-Profil.

Anlegen des IPSec Peers
Anlegen des IPSec Peers Erweitert

Übernehmen Sie die Einstellungen aus dem Screenshot, die Bezeichnungen sind natürlich nur beispielhaft. Möchten Sie für das iPhone / iPad eine IP-Adresse aus dem gleichem Subnetz zuweisen, das Sie auch lokal verwenden, so ist Proxy ARP zu aktivieren (zusätzlich auch am LAN-Interface des Routers). Verwenden Sie ein anderes Subnetz, so bleibt Proxy ARP inaktiv.

Konfiguration des Apple iPhone

Wählen Sie die Optionen: "Einstellungen" ->" Allgemein" -> "Netzwerk" -> "VPN" -> "VPN-Konfiguration hinzufügen".
Es gibt die Optionen L2TP, PPTP und IPSec. Hier ist "IPSec" zu wählen.

Konfiguration des Tunnels auf dem iPhone

Beschreibung: Eingabe des Verbindungsnamens, z.B. "IPSec Tunnel"
Server: die Adresse des bintec Routers im Internet, z.B. "ihrname.dyndns.org"
Account: Name des XAUTH Profil-Users z.B. "iphone"
Kennwort: Passwort des XAUTH Profil-Users, z.B. "Test123"
Gruppenname: Achtung! Es handelt sich um die Peer ID des IPSec Peers
Shared Secret: geben Sie Ihren PreShared Key ein, z.B. "Test123"

VPN-IPSec Tunnel Aufbau

Wählen Sie im Untermenü
"Einstellungen" -> "Allgemein" -> "Netzwerk" -> "VPN" ihre gerade konfigurierte VPN Verbindung aus.

Auswahl der konfigurierten VPN Verbindung

Aktivieren Sie den Button VPN. Damit startet das Apple iPhone den Aufbau des IPSec VPN Tunnels.

Status VPN-IPSec Verbindung

Auf dem iPhone ist unter "Status" die aktive IPSec Verbindung ersichtlich:

Einsehen des Status

Auf dem bintec Router sollten unter "Monitoring" > "Internes Protokoll" folgende Syslogmeldungen auftauchen:

Debug Meldungen

lm