bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten: Unterschied zwischen den Versionen
Aus bintec elmeg Support-Wiki / FAQ
Zeile 1: | Zeile 1: | ||
'''<big>bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten</big>'''__NOEDITSECTION__ | '''<big>bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten</big>'''__NOEDITSECTION__ | ||
+ | |||
===Vorbemerkungen=== | ===Vorbemerkungen=== | ||
* Durch einen VPN-Tunnel sollen zwei örtlich getrennt liegende LANs mittels IPSec (IKEv1) unter Verwendung von Zertifikaten routingtechnisch miteinander verbunden werden. | * Durch einen VPN-Tunnel sollen zwei örtlich getrennt liegende LANs mittels IPSec (IKEv1) unter Verwendung von Zertifikaten routingtechnisch miteinander verbunden werden. | ||
Zeile 12: | Zeile 13: | ||
===Vorgehensweise=== | ===Vorgehensweise=== | ||
− | |||
Im vorliegenden Beispiel soll das LAN "192.168.17.0/24" eines bintec RS353jw in der Filiale durch einen IPSec-Tunnel (IKEv1) <br /> | Im vorliegenden Beispiel soll das LAN "192.168.17.0/24" eines bintec RS353jw in der Filiale durch einen IPSec-Tunnel (IKEv1) <br /> | ||
unter Verwendung von Zertifikaten mit dem LAN "192.168.0.0/24" eines bintec R1202 in der Zentrale verbunden werden. <br /> | unter Verwendung von Zertifikaten mit dem LAN "192.168.0.0/24" eines bintec R1202 in der Zentrale verbunden werden. <br /> | ||
Zeile 21: | Zeile 21: | ||
Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten: | Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten: | ||
+ | |||
# Anlegen der Phase-1-Profile in Filiale und Zentrale | # Anlegen der Phase-1-Profile in Filiale und Zentrale | ||
# Anlegen der Phase-2-Profile in Filiale und Zentrale | # Anlegen der Phase-2-Profile in Filiale und Zentrale | ||
Zeile 26: | Zeile 27: | ||
====Schritt 1: Anlegen der Phase-1-Profile in Filiale und Zentrale==== | ====Schritt 1: Anlegen der Phase-1-Profile in Filiale und Zentrale==== | ||
− | |||
=====Phase-1-Profil einrichten im bintec RS353jw in der Filiale===== | =====Phase-1-Profil einrichten im bintec RS353jw in der Filiale===== | ||
− | |||
Das Anlegen des Phase-1-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen". | Das Anlegen des Phase-1-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen". | ||
Zeile 39: | Zeile 38: | ||
=====Phase-1-Profil einrichten im bintec R1202 in der Zentrale===== | =====Phase-1-Profil einrichten im bintec R1202 in der Zentrale===== | ||
− | + | Das Anlegen des Phase-1-Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen". | |
− | Das Anlegen des Phase-1- | ||
Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-1-Profils: | Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-1-Profils: | ||
Zeile 50: | Zeile 48: | ||
====Schritt 2: Anlegen der Phase-2-Profile in Filiale und Zentrale==== | ====Schritt 2: Anlegen der Phase-2-Profile in Filiale und Zentrale==== | ||
− | |||
=====Phase-2-Profil einrichten im bintec RS353jw in der Filiale===== | =====Phase-2-Profil einrichten im bintec RS353jw in der Filiale===== | ||
− | |||
Das Anlegen des Phase-2-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU". | Das Anlegen des Phase-2-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU". | ||
Zeile 63: | Zeile 59: | ||
=====Phase-2-Profil einrichten im bintec R1202 in der Zentrale===== | =====Phase-2-Profil einrichten im bintec R1202 in der Zentrale===== | ||
− | |||
Das Anlegen des Phase-2-Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU". | Das Anlegen des Phase-2-Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU". | ||
Zeile 74: | Zeile 69: | ||
====Schritt 3: Konfiguration der IPSec-Peers in Filiale und Zentrale==== | ====Schritt 3: Konfiguration der IPSec-Peers in Filiale und Zentrale==== | ||
− | |||
=====IPSec-Peer einrichten im bintec RS353jw in der Filiale===== | =====IPSec-Peer einrichten im bintec RS353jw in der Filiale===== | ||
− | |||
Das Anlegen des IPSec-Tunnels erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU". | Das Anlegen des IPSec-Tunnels erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU". | ||
Zeile 94: | Zeile 87: | ||
=====IPSec-Peer einrichten im bintec R1202 in der Zentrale===== | =====IPSec-Peer einrichten im bintec R1202 in der Zentrale===== | ||
− | |||
Das Anlegen des IPSec-Tunnels erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU". | Das Anlegen des IPSec-Tunnels erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU". | ||
Zeile 112: | Zeile 104: | ||
===Kontrolle der Funktion des neu konfigurierten VPN-Tunnels=== | ===Kontrolle der Funktion des neu konfigurierten VPN-Tunnels=== | ||
− | |||
* Eine gute Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Router-Konsole (Telnet, SSH oder seriell). | * Eine gute Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Router-Konsole (Telnet, SSH oder seriell). | ||
Beispielmeldungen auf der Konsole des Initiators bintec RS353jw der Filiale beim erfolgreichen VPN-Verbindungsaufbau zum bintec R1202 der Zentrale: | Beispielmeldungen auf der Konsole des Initiators bintec RS353jw der Filiale beim erfolgreichen VPN-Verbindungsaufbau zum bintec R1202 der Zentrale: | ||
+ | |||
<pre>rs353jw_ks:> debug all& | <pre>rs353jw_ks:> debug all& | ||
13:06:16 INFO/INET: dialup if 38100001 prot 1 192.168.17.100:2048->192.168.0.100:29066 | 13:06:16 INFO/INET: dialup if 38100001 prot 1 192.168.17.100:2048->192.168.0.100:29066 | ||
Zeile 141: | Zeile 133: | ||
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-Einwahl des bintec RS353jw der Filiale: | Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-Einwahl des bintec RS353jw der Filiale: | ||
+ | |||
<pre>r1202_ks:> debug all& | <pre>r1202_ks:> debug all& | ||
13:05:40 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:816 | 13:05:40 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:816 | ||
Zeile 154: | Zeile 147: | ||
13:05:40 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): identified ip 212.0.0.1 <- ip 212.0.0.2 | 13:05:40 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): identified ip 212.0.0.1 <- ip 212.0.0.2 | ||
13:05:41 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:4500/212.0.0.1:4500 <- 212.0.0.2:47608 | 13:05:41 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:4500/212.0.0.1:4500 <- 212.0.0.2:47608 | ||
− | 13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [76702854 bd1b45a7 : 1bf073b9 b7d28a6a] | + | 13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [76702854 bd1b45a7 : 1bf073b9 b7d28a6a]13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): [IP] NAT-T: port change: local: 212.0.0.1:500->212.0.0.1:4500, remote: 212.0.0.2:816->212.0.0.2:47608 |
− | 13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): [IP] NAT-T: port change: local: 212.0.0.1:500->212.0.0.1:4500, remote: 212.0.0.2:816->212.0.0.2:47608 | ||
13:05:41 INFO/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a] | 13:05:41 INFO/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a] | ||
13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): created 192.168.0.0/24:0 < any > 192.168.17.0/24:0 rekeyed 0 | 13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): created 192.168.0.0/24:0 < any > 192.168.17.0/24:0 rekeyed 0 | ||
Zeile 166: | Zeile 158: | ||
Abschließend noch testweises Ping vom Host im LAN des RS353jw der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale: | Abschließend noch testweises Ping vom Host im LAN des RS353jw der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale: | ||
+ | |||
<pre>rs232bw_ks:> ping -c 3 -d 2000 192.168.0.20 | <pre>rs232bw_ks:> ping -c 3 -d 2000 192.168.0.20 | ||
PING 192.168.0.20: 64 data bytes | PING 192.168.0.20: 64 data bytes | ||
Zeile 176: | Zeile 169: | ||
===Abschlußbemerkung=== | ===Abschlußbemerkung=== | ||
− | |||
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren. | Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren. | ||
===Basis=== | ===Basis=== | ||
− | |||
Erstellt: 18.+19.1.2018 <br /> | Erstellt: 18.+19.1.2018 <br /> | ||
Produkt: bintec Router-Serien und be.IP-Serie <br /> | Produkt: bintec Router-Serien und be.IP-Serie <br /> |
Version vom 22. Januar 2018, 18:21 Uhr
bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten
Inhaltsverzeichnis
- 1 Vorbemerkungen
- 2 Vorgehensweise
- 3 Kontrolle der Funktion des neu konfigurierten VPN-Tunnels
- 4 Abschlußbemerkung
- 5 Basis
Vorbemerkungen
- Durch einen VPN-Tunnel sollen zwei örtlich getrennt liegende LANs mittels IPSec (IKEv1) unter Verwendung von Zertifikaten routingtechnisch miteinander verbunden werden.
- Im vorliegenden Beispiel soll diese "LAN-zu-LAN"-Verbindung von einem bintec RS353jw in der Filiale zu einem bintec R1202 in der Zentrale aufgebaut werden, beide mit der Firmware Release Version 10.1.27 Patch 6.
- Auf beiden bintec Routern wird im vorliegenden Beispiel von initial unkonfiguriertem IPSec ausgegangen (entspr. Auslieferungszustand).
- Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
- Die Konfiguration der IPSec-Verbindung erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec".
- Die inividuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
- Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Im vorliegenden Beispiel wird vorausgesetzt, dass alle notwendigen Schlüssel und Zertifikate bereits ordungsgemäß und passend erstellt wurden und in beide bintec Geräte importiert und "Gültig" sind. Bezüglich des Gültigkeitszeitraums der Zertifikate ist auf korrekte Werte von Datum und Uhrzeit in den Geräten zu achten. Die grundsätzliche Handhabung von Zertifikaten ist sehr gut in der Online-Hilfe und im Manual beschrieben.
Vorgehensweise
Im vorliegenden Beispiel soll das LAN "192.168.17.0/24" eines bintec RS353jw in der Filiale durch einen IPSec-Tunnel (IKEv1)
unter Verwendung von Zertifikaten mit dem LAN "192.168.0.0/24" eines bintec R1202 in der Zentrale verbunden werden.
Die IP-Adresse "212.0.0.1" soll hierbei als "öffentliche" WAN-IP-Adresse des bintec R1202 in der Zentrale fungieren und
die IP-Adresse "212.0.0.2" als "öffentliche" WAN-IP-Adresse des bintec RS353jw in der Filiale.
Die notwendigen Schlüssel ("Public Keys") und Zertifikate (Zertifikat der Zertifizierungsstelle (CA) und Benutzerzertifikat)
seien bereits ordungsgemäß in beide bintec Geräte importiert - bequemerweise im Format "PKCS#12 Kette".
Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten:
- Anlegen der Phase-1-Profile in Filiale und Zentrale
- Anlegen der Phase-2-Profile in Filiale und Zentrale
- Konfiguration der IPSec-Peers in Filiale und Zentrale
Schritt 1: Anlegen der Phase-1-Profile in Filiale und Zentrale
Phase-1-Profil einrichten im bintec RS353jw in der Filiale
Das Anlegen des Phase-1-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
Beispiel für das GUI-Menü des bintec RS353jw in der Filiale mit Beispielwerten zur Konfiguration des Phase-1-Profils:
Bild 1: GUI-Menü des bintec RS353jw in der Filiale mit den Beispielwerten des Phase-1-Profils
Unter "Erweiterte Einstellungen" ist die Erreichbarkeitsprüfung "Dead Peer Detection (Idle)" auszuwählen. Nach dem "OK" ist das neue Profil als "Standard" zu markieren.
Phase-1-Profil einrichten im bintec R1202 in der Zentrale
Das Anlegen des Phase-1-Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-1-Profils:
Bild 2: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des Phase-1-Profils
Unter "Erweiterte Einstellungen" ist wieder die Erreichbarkeitsprüfung "Dead Peer Detection (Idle)" auszuwählen. Nach dem "OK" ist das neue Profil auch wieder als "Standard" zu markieren.
Schritt 2: Anlegen der Phase-2-Profile in Filiale und Zentrale
Phase-2-Profil einrichten im bintec RS353jw in der Filiale
Das Anlegen des Phase-2-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU".
Beispiel für das GUI-Menü des bintec RS353jw in der Filiale mit Beispielwerten zur Konfiguration des Phase-2-Profils:
Bild 3: GUI-Menü des bintec RS353jw in der Filiale mit den Beispielwerten des Phase-2-Profils
Unter "Erweiterte Einstellungen" ist die Erreichbarkeitsprüfung "Inaktiv" auszuwählen. Nach dem "OK" ist das neue Profil als "Standard" zu markieren.
Phase-2-Profil einrichten im bintec R1202 in der Zentrale
Das Anlegen des Phase-2-Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU".
Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-2-Profils:
Bild 4: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des Phase-2-Profils
Unter "Erweiterte Einstellungen" ist wieder die Erreichbarkeitsprüfung "Inaktiv" auszuwählen. Nach dem "OK" ist das neue Profil auch wieder als "Standard" zu markieren.
Schritt 3: Konfiguration der IPSec-Peers in Filiale und Zentrale
IPSec-Peer einrichten im bintec RS353jw in der Filiale
Das Anlegen des IPSec-Tunnels erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
Beispiel für das GUI-Menü des bintec RS353jw in der Filiale mit Beispielwerten zur Konfiguration des IPSec-Tunnels:
Bild 5: GUI-Menü des bintec RS353jw in der Filiale mit den Beispielwerten des neuen IPSec-Tunnels
Unter "Erweiterte Einstellungen" sind außerdem noch die beiden neu angelegten Profile für Phase-1 ("FAQ-Profil IKEv1 mit Zertifikat") und Phase-2 ("FAQ-Profil Phase 2") auszuwählen.
Die Peer-Adresse ist im Beispiel die "öffentliche" WAN-IP-Adresse "212.0.0.1" der Gegenstelle R1202 in der Zentrale, die "Lokale IP-Adresse" ist im Beispiel die eigene LAN-IP-Adresse "192.168.17.100" des bintec RS353jw in der Filiale, die "Entfernte IP-Adresse" ist im Beispiel das LAN "192.168.0.0/24" der Gegenstelle bintec R1202 in der Zentrale.
Hinweis: Achten Sie generell beim IPSec ganz besonders auf korrekte Peer-IDs, Lokale IDs und die zugehörigen Peer-ID-Typen.
IPSec-Peer einrichten im bintec R1202 in der Zentrale
Das Anlegen des IPSec-Tunnels erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des IPSec-Tunnels:
Bild 6: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des neuen IPSec-Tunnels
Unter "Erweiterte Einstellungen" sind wieder die beiden neu angelegten Profile für Phase-1 ("FAQ-Profil IKEv1 mit Zertifikat") und Phase-2 ("FAQ-Profil Phase 2") auszuwählen.
Die Peer-Adresse ist im Beispiel die "öffentliche" WAN-IP-Adresse "212.0.0.2" der Gegenstelle RS353jw in der Filiale, die "Lokale IP-Adresse" ist im Beispiel die eigene LAN-IP-Adresse "192.168.0.100" des bintec R1202 in der Zentrale, die "Entfernte IP-Adresse" ist im Beispiel das LAN "192.168.0.0/24" der Gegenstelle bintec RS353jw in der Filiale.
Hinweis: Achten Sie generell beim IPSec ganz besonders auf korrekte Peer-IDs, Lokale IDs und die zugehörigen Peer-ID-Typen.
Kontrolle der Funktion des neu konfigurierten VPN-Tunnels
- Eine gute Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Router-Konsole (Telnet, SSH oder seriell).
Beispielmeldungen auf der Konsole des Initiators bintec RS353jw der Filiale beim erfolgreichen VPN-Verbindungsaufbau zum bintec R1202 der Zentrale:
rs353jw_ks:> debug all& 13:06:16 INFO/INET: dialup if 38100001 prot 1 192.168.17.100:2048->192.168.0.100:29066 13:06:16 DEBUG/INET: NAT: new outgoing session on ifc 1040000 prot 17 212.0.0.2:500/212.0.0.2:816 -> 212.0.0.1:500 13:06:16 DEBUG/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): identified ip 212.0.0.2 -> ip 212.0.0.1 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'BINTECELMEG' 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'RFC XXXX' 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03' 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02' 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02' 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00' 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06' 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): Vendor ID: 212.0.0.1:500 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)' 13:06:16 DEBUG/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): [IP] NAT-T: port change: local: 212.0.0.2:500->212.0.0.2:4500, remote: 212.0.0.1:500->212.0.0.1:4500 13:06:16 DEBUG/INET: NAT: new outgoing session on ifc 1040000 prot 17 212.0.0.2:4500/212.0.0.2:47608 -> 212.0.0.1:4500 13:06:16 INFO/IPSEC: P1: peer 1 (Zentrale mit Zertifikat) sa 1 (I): done id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) -> id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a] 13:06:16 INFO/IPSEC: Trigger Bundle -1 (Peer 1 Traffic -1) prot 1 192.168.17.100:0->192.168.0.100:0 13:06:16 INFO/IPSEC: P2: peer 1 (Zentrale mit Zertifikat) traf 0 bundle -1 (I): created 192.168.17.0/24:0 < any > 192.168.0.0/24:0 rekeyed 0 13:06:17 DEBUG/IPSEC: P2: peer 1 (Zentrale mit Zertifikat) traf 0 bundle -1 (I): SA 1 established ESP[4989cf9f] in[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit) 13:06:17 DEBUG/IPSEC: P2: peer 1 (Zentrale mit Zertifikat) traf 0 bundle -1 (I): SA 2 established ESP[58a78371] out[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit) 13:06:17 INFO/IPSEC: Activate Bundle -1 (Peer 1 Traffic -1) 13:06:17 INFO/IPSEC: P2: peer 1 (Zentrale mit Zertifikat) traf 0 bundle -1 (I): established (212.0.0.2<->212.0.0.1) with 2 SAs life 7200 Sec/0 Kb rekey 5760 Sec/0 Kb Hb none PMTU rs353jw_ks:>
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-Einwahl des bintec RS353jw der Filiale:
r1202_ks:> debug all& 13:05:40 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:816 13:05:40 DEBUG/IPSEC: P1: peer 0 () sa 1 (R): new ip 212.0.0.1 <- ip 212.0.0.2 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'BINTECELMEG' 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'RFC XXXX' 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03' 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02' 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02' 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00' 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06' 13:05:40 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 212.0.0.2:816 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)' 13:05:40 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): identified ip 212.0.0.1 <- ip 212.0.0.2 13:05:41 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:4500/212.0.0.1:4500 <- 212.0.0.2:47608 13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [76702854 bd1b45a7 : 1bf073b9 b7d28a6a]13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): [IP] NAT-T: port change: local: 212.0.0.1:500->212.0.0.1:4500, remote: 212.0.0.2:816->212.0.0.2:47608 13:05:41 INFO/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a] 13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): created 192.168.0.0/24:0 < any > 192.168.17.0/24:0 rekeyed 0 13:05:41 DEBUG/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): SA 1 established ESP[58a78371] in[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit) 13:05:41 DEBUG/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): SA 2 established ESP[4989cf9f] out[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit) 13:05:41 INFO/IPSEC: Activate Bundle 1 (Peer 1 Traffic -1) 13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): established (212.0.0.1<->212.0.0.2) with 2 SAs life 7200 Sec/0 Kb rekey 6480 Sec/0 Kb Hb none PMTU r1202_ks:>
Abschließend noch testweises Ping vom Host im LAN des RS353jw der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:
rs232bw_ks:> ping -c 3 -d 2000 192.168.0.20 PING 192.168.0.20: 64 data bytes 64 bytes from 192.168.0.20: icmp_seq=0. time=1.943 ms 64 bytes from 192.168.0.20: icmp_seq=1. time=1.178 ms 64 bytes from 192.168.0.20: icmp_seq=2. time=1.182 ms ----192.168.0.20 PING Statistics---- 3 packets transmitted, 3 packets received, 0% packet loss
Abschlußbemerkung
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
Basis
Erstellt: 18.+19.1.2018
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27 Patch 6
KW: 06/2018
kst