bintec Router-Serien und be.IP-Serie - Hinweise zur Eingabe des Preshared Key bei der Konfiguration von IPSec Peers: Unterschied zwischen den Versionen

Aus bintec elmeg Support-Wiki / FAQ

Wechseln zu: Navigation, Suche
(Die Seite wurde neu angelegt: „'''<big>bintec Router-Serien und be.IP-Serie - Hinweise zur Eingabe des Preshared Key bei der Konfiguration von IPSec Peers</big>''' __NOTOC__ <!-- __NOTOC__=…“)
 
Zeile 1: Zeile 1:
'''<big>bintec Router-Serien und be.IP-Serie - Hinweise zur Eingabe des Preshared Key bei der Konfiguration von IPSec Peers</big>'''
+
'''<big>bintec Router-Serien und be.IP-Serie - Hinweise zur Eingabe des Preshared Key bei der Konfiguration von IPSec Peers</big>'''__NOEDITSECTION__
__NOTOC__
 
<!-- __NOTOC__= no table of content -->
 
__NOEDITSECTION__
 
  
=== Vorbemerkungen ===
+
===Vorbemerkungen===
* Bei der Konfiguration eines IPSec-Peers soll ein Preshared Key (PSK) eingegeben werden werden. Dabei ist einiges beachtenswert. <br />
+
* Bei der Konfiguration eines IPSec-Peers soll ein Preshared Key (PSK) eingegeben werden werden. Dabei ist einiges beachtenswert.
* Als Beispiel wird ein bintec RS353jw mit Software-Version 10.2.3 verwendet, die Konfiguration erfolgt mittels GUI. <br />
+
* Als Beispiel wird ein bintec RS353jw mit Software-Version 10.2.3 verwendet, die Konfiguration erfolgt mittels GUI.
* Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren. <br />
+
* Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
* Die Konfiguration des IPSec-Peers erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec". <br />
+
* Die Konfiguration des IPSec-Peers erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec".
* Die individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden. <br />
+
* Die individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen. <br />
+
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
  
 
Der Preshared Key (PSK) ist in Online-Hilfe und Manual folgendermaßen beschrieben: <br />
 
Der Preshared Key (PSK) ist in Online-Hilfe und Manual folgendermaßen beschrieben: <br />
 
"Preshared Key: <br />
 
"Preshared Key: <br />
Geben Sie das mit dem Peer vereinbarte Passwort ein. Die maximal mögliche Länge des Eintrags beträgt 50 Zeichen.  
+
Geben Sie das mit dem Peer vereinbarte Passwort ein. Die maximal mögliche Länge des Eintrags beträgt 50 Zeichen.
Alle Zeichen sind möglich außer 0x am Anfang des Eintrags." <br />
+
Alle Zeichen sind möglich außer 0x am Anfang des Eintrags."
  
 
Die HTML MIB-Reference beschreibt die beiden zugehörigen Variablen der ipsecPeerTable, PreSharedKey und PreSharedKeyData, folgendermaßen: <br />
 
Die HTML MIB-Reference beschreibt die beiden zugehörigen Variablen der ipsecPeerTable, PreSharedKey und PreSharedKeyData, folgendermaßen: <br />
Zeile 22: Zeile 19:
 
This field serves only as an input field and its contents are replaced with a single asterisk immediately after it is set." <br />
 
This field serves only as an input field and its contents are replaced with a single asterisk immediately after it is set." <br />
 
"PreSharedKeyData <br />
 
"PreSharedKeyData <br />
Field used for storing the pre-shared-key permanently." <br />
+
Field used for storing the pre-shared-key permanently."
  
=== Vorgehensweise ===
+
===Vorgehensweise===
 +
Die Konfiguration erfolgt im GUI Menü "VPN" unter "IPSec" auf der Menükartenseite "IPSec-Peers" nach Klick auf das "Edit-Symbol" bzw. "Neu".
  
Die Konfiguration erfolgt im GUI Menü "VPN" unter "IPSec" auf der Menükartenseite "IPSec-Peers" nach Klick auf das "Edit-Symbol" bzw. "Neu". <br />
+
====Eingabe im GUI-Menü====
 +
Im Standardfall erfolgt die Eingabe des Preshared Key (PSK) verdeckt mit Anzeige von Punkten ("........"), wobei ein Punkt für ein Zeichen steht.
  
==== Eingabe im GUI-Menü ====
+
Beispiel für das GUI-Menü zur Eingabe des PSK im verdeckten Standardfall:
 
+
[[Bild:IPSec_PSK_Hinweise01.png|none|Eingabe PSK im Standardfall]]
Im Standardfall erfolgt die Eingabe des Preshared Key (PSK) verdeckt mit Anzeige von Punkten ("........"), wobei ein Punkt für ein Zeichen steht. <br />
+
Bild 1: GUI-Menü mit eingegebenem PSK im verdeckten Standardfall
  
Beispiel für das GUI-Menü zur Eingabe des PSK im Standardfall:
+
Nach dem Bestätigen der Eingabemenüseite (mit Klick auf "OK") wird er nur noch durch einen einzelnen Stern ("*") ersetzt angezeigt.
[[Bild:IPSec_PSK_Hinweise01.png|none|Eingabe PSK im Standardfall]]
 
Bild 1: GUI-Menü mit eingegebenem PSK im Standardfall <br />
 
  
Um eine etwas besser kontrollierbare, sichtbare Eingabe des PSK zu erhalten, aktiviert man im GUI-Menü "Systemverwaltung" <br />
+
Um eine etwas besser kontrollierbare, lesbare Eingabe des PSK zu erhalten, aktiviert man (vorher) im GUI-Menü "Systemverwaltung" unter "Globale Einstellungen", "Passwörter" die Einstellung "Passwörter und Schlüssel als Klartext anzeigen". Aber auch dann wird der PSK nach dem Abschluß der Eingabe durch Bestätigen der Eingabemenüseite (mit Klick auf "OK") nur noch durch einen einzelnen Stern ("*") ersetzt angezeigt.
unter "Globale Einstellungen", "Passwörter" die Einstellung "Passwörter und Schlüssel als Klartext anzeigen". <br />
 
Dadurch ist der PSK allerdings nur bis zum Verlassen der Eingabemenüseite (mit Klick auf "OK") sichtbar,
 
danach wird er nur noch durch einen einzelnen Stern ("*") ersetzt angezeigt.
 
  
Beispiel für das GUI-Menü zur Eingabe des PSK im sichtbaren Fall:
+
Beispiel für das GUI-Menü zur Eingabe des PSK im lesbaren Fall:
 
[[Bild:IPSec_PSK_Hinweise02.png|none|GUI-Menü mit aktivierter Funktion ...]]
 
[[Bild:IPSec_PSK_Hinweise02.png|none|GUI-Menü mit aktivierter Funktion ...]]
Bild 2: GUI-Menü mit eingegebenem PSK im sichtbaren Fall <br />
+
Bild 2: GUI-Menü mit eingegebenem PSK im lesbaren Fall
  
Bei der Testingabe im GUI-Menü wurden nicht nur die oben genannten 50 Zeichen akzeptiert, sondern auch deutlich mehr. Als Maximum  
+
Bei der Testingabe im GUI-Menü wurden nicht nur die oben genannten 50 Zeichen akzeptiert, sondern auch deutlich mehr. Als Maximum
 
wurden 255 Zeichen gerade noch akzeptiert. Die Länge des PSK spielt ja bei der Bewertung der Sicherheit eine wichtige Rolle.
 
wurden 255 Zeichen gerade noch akzeptiert. Die Länge des PSK spielt ja bei der Bewertung der Sicherheit eine wichtige Rolle.
  
 
+
====Zulässige Zeichen und Sonderzeichen====
==== Zulässige Zeichen und Sonderzeichen ====
 
 
 
 
Eigentlich sollten im String des PSK alle Zeichen verwendbar sein, aber es gibt bestimmte Ausnahmen.
 
Eigentlich sollten im String des PSK alle Zeichen verwendbar sein, aber es gibt bestimmte Ausnahmen.
 
Beginnt der String des PSK mit "0x", so speichert die GUI kein einziges Zeichen für den PSK ab.
 
Beginnt der String des PSK mit "0x", so speichert die GUI kein einziges Zeichen für den PSK ab.
Zeile 61: Zeile 53:
  
 
Die Zeichentabelle ISO/IEC 8859-1:
 
Die Zeichentabelle ISO/IEC 8859-1:
Code …0 …1 …2 …3 …4 …5 …6 …7 …8 …9 …A …B …C …D …E …F
+
Code …0 …1 …2 …3 …4 …5 …6 …7 …8 …9 …A …B …C …D …E …F
2… SP ! " # $ % & ' ( ) * + , - . /
+
2… SP ! " # $ % & ' ( ) * + , - . /
3… 0 1 2 3 4 5 6 7 8 9 : ; < = > ?
+
3… 0 1 2 3 4 5 6 7 8 9 : ; < = > ?
4… @ A B C D E F G H I J K L M N O
+
4… @ A B C D E F G H I J K L M N O
5… P Q R S T U V W X Y Z [ \ ] ^ _
+
5… P Q R S T U V W X Y Z [ \ ] ^ _
6… ` a b c d e f g h i j k l m n o
+
6… ` a b c d e f g h i j k l m n o
7… p q r s t u v w x y z { | } ~
+
7… p q r s t u v w x y z { | } ~
A… NBSP ¡ ¢ £ ¤ ¥ ¦ § ¨ © ª « ¬ SHY ® ¯
+
A… NBSP ¡ ¢ £ ¤ ¥ ¦ § ¨ © ª « ¬ SHY ® ¯
B… ° ± ² ³ ´ µ · ¸ ¹ º » ¼ ½ ¾ ¿
+
B… ° ± ² ³ ´ µ ¶ · ¸ ¹ º » ¼ ½ ¾ ¿
C… À Á Â Ã Ä Å Æ Ç È É Ê Ë Ì Í Î Ï
+
C… À Á Â Ã Ä Å Æ Ç È É Ê Ë Ì Í Î Ï
D… Ð Ñ Ò Ó Ô Õ Ö × Ø Ù Ú Û Ü Ý Þ ß
+
D… Ð Ñ Ò Ó Ô Õ Ö × Ø Ù Ú Û Ü Ý Þ ß
E… à á â ã ä å æ ç è é ê ë ì í î ï
+
E… à á â ã ä å æ ç è é ê ë ì í î ï
F… ð ñ ò ó ô õ ö ÷ ø ù ú û ü ý þ ÿ
+
F… ð ñ ò ó ô õ ö ÷ ø ù ú û ü ý þ ÿ
  
SP bedeutet hier Leerzeichen, NBSP festes Leerzeichen, SHY bedingter Trennstrich.  
+
SP bedeutet hier Leerzeichen, NBSP festes Leerzeichen, SHY bedingter Trennstrich.
  
 
Obige Zeichen (nur ohne NBSP und SHY) als fortlaufender String (mit 189 Zeichen):
 
Obige Zeichen (nur ohne NBSP und SHY) als fortlaufender String (mit 189 Zeichen):
Zeile 81: Zeile 73:
 
Eine IPSec-Testverbindung von bintec Router zu bintec Router mit genau diesem PSK (mit 189 Zeichen) ließ sich ordnungsgemäß aufbauen.
 
Eine IPSec-Testverbindung von bintec Router zu bintec Router mit genau diesem PSK (mit 189 Zeichen) ließ sich ordnungsgemäß aufbauen.
  
 
+
====Weitere Hinweise====
==== Weitere Hinweise ====
 
 
 
 
Verwenden Sie möglichst sichere Strings für den PSK. Auch die Länge des PSK spielt bei der Bewertung der Sicherheit eine wichtige Rolle.
 
Verwenden Sie möglichst sichere Strings für den PSK. Auch die Länge des PSK spielt bei der Bewertung der Sicherheit eine wichtige Rolle.
 
Gegenstellen anderer Hersteller unterstützen möglicherweise nur kürzere Strings und auch nicht alle obigen Zeichen und Sonderzeichen für den PSK.
 
Gegenstellen anderer Hersteller unterstützen möglicherweise nur kürzere Strings und auch nicht alle obigen Zeichen und Sonderzeichen für den PSK.
  
=== Abschlußbemerkung: ===
+
===Abschlußbemerkung===
 
+
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") <br />
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save") <br>
 
 
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
 
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
  
=== Basis: ===
+
===Basis===
 
Erstellt: 26.+31.07.2018 <br />
 
Erstellt: 26.+31.07.2018 <br />
 
Produkt: bintec Router-Serien und be.IP-Serie <br />
 
Produkt: bintec Router-Serien und be.IP-Serie <br />
 
Release: 10.2.3 <br />
 
Release: 10.2.3 <br />
 
Monat: 01/2018 <br />
 
Monat: 01/2018 <br />
kst <br />
+
kst
  
 
[[Kategorie:VPN]]
 
[[Kategorie:VPN]]

Version vom 31. Juli 2018, 16:48 Uhr

bintec Router-Serien und be.IP-Serie - Hinweise zur Eingabe des Preshared Key bei der Konfiguration von IPSec Peers

Vorbemerkungen

  • Bei der Konfiguration eines IPSec-Peers soll ein Preshared Key (PSK) eingegeben werden werden. Dabei ist einiges beachtenswert.
  • Als Beispiel wird ein bintec RS353jw mit Software-Version 10.2.3 verwendet, die Konfiguration erfolgt mittels GUI.
  • Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Die Konfiguration des IPSec-Peers erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec".
  • Die individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Der Preshared Key (PSK) ist in Online-Hilfe und Manual folgendermaßen beschrieben:
"Preshared Key:
Geben Sie das mit dem Peer vereinbarte Passwort ein. Die maximal mögliche Länge des Eintrags beträgt 50 Zeichen. Alle Zeichen sind möglich außer 0x am Anfang des Eintrags."

Die HTML MIB-Reference beschreibt die beiden zugehörigen Variablen der ipsecPeerTable, PreSharedKey und PreSharedKeyData, folgendermaßen:
"PreSharedKey
The pre-shared-key used with this peer, if pre-shared-keys are used for authentication.
This field serves only as an input field and its contents are replaced with a single asterisk immediately after it is set."
"PreSharedKeyData
Field used for storing the pre-shared-key permanently."

Vorgehensweise

Die Konfiguration erfolgt im GUI Menü "VPN" unter "IPSec" auf der Menükartenseite "IPSec-Peers" nach Klick auf das "Edit-Symbol" bzw. "Neu".

Eingabe im GUI-Menü

Im Standardfall erfolgt die Eingabe des Preshared Key (PSK) verdeckt mit Anzeige von Punkten ("........"), wobei ein Punkt für ein Zeichen steht.

Beispiel für das GUI-Menü zur Eingabe des PSK im verdeckten Standardfall:

Eingabe PSK im Standardfall

Bild 1: GUI-Menü mit eingegebenem PSK im verdeckten Standardfall

Nach dem Bestätigen der Eingabemenüseite (mit Klick auf "OK") wird er nur noch durch einen einzelnen Stern ("*") ersetzt angezeigt.

Um eine etwas besser kontrollierbare, lesbare Eingabe des PSK zu erhalten, aktiviert man (vorher) im GUI-Menü "Systemverwaltung" unter "Globale Einstellungen", "Passwörter" die Einstellung "Passwörter und Schlüssel als Klartext anzeigen". Aber auch dann wird der PSK nach dem Abschluß der Eingabe durch Bestätigen der Eingabemenüseite (mit Klick auf "OK") nur noch durch einen einzelnen Stern ("*") ersetzt angezeigt.

Beispiel für das GUI-Menü zur Eingabe des PSK im lesbaren Fall:

GUI-Menü mit aktivierter Funktion ...

Bild 2: GUI-Menü mit eingegebenem PSK im lesbaren Fall

Bei der Testingabe im GUI-Menü wurden nicht nur die oben genannten 50 Zeichen akzeptiert, sondern auch deutlich mehr. Als Maximum wurden 255 Zeichen gerade noch akzeptiert. Die Länge des PSK spielt ja bei der Bewertung der Sicherheit eine wichtige Rolle.

Zulässige Zeichen und Sonderzeichen

Eigentlich sollten im String des PSK alle Zeichen verwendbar sein, aber es gibt bestimmte Ausnahmen. Beginnt der String des PSK mit "0x", so speichert die GUI kein einziges Zeichen für den PSK ab. Am gängigsten sind die sog. druckbaren ASCII-Zeichen (Ziffern, Groß-/Kleinbuchstaben, Satz- und Sonderzeichen incl. Leerzeichen): " !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~". Des Weiteren auch die Umlaute "ÄäÖöÜü" und "§ßµ°²³" von der deutschen Tastatur.

Bei Eingabe des unzulässigen Euro-Zeichens "€" dagegen meldet die GUI "Nur Zeichen aus ISO 8859-1 (Latin-1) erlaubt". Die genannte Zeichentabelle ISO/IEC 8859-1 findet man z.B. bei Wikipedia (https://de.wikipedia.org/wiki/ISO_8859-1).

Die Zeichentabelle ISO/IEC 8859-1: Code …0 …1 …2 …3 …4 …5 …6 …7 …8 …9 …A …B …C …D …E …F 2… SP ! " # $ % & ' ( ) * + , - . / 3… 0 1 2 3 4 5 6 7 8 9 : ; < = > ? 4… @ A B C D E F G H I J K L M N O 5… P Q R S T U V W X Y Z [ \ ] ^ _ 6… ` a b c d e f g h i j k l m n o 7… p q r s t u v w x y z { | } ~ A… NBSP ¡ ¢ £ ¤ ¥ ¦ § ¨ © ª « ¬ SHY ® ¯ B… ° ± ² ³ ´ µ ¶ · ¸ ¹ º » ¼ ½ ¾ ¿ C… À Á Â Ã Ä Å Æ Ç È É Ê Ë Ì Í Î Ï D… Ð Ñ Ò Ó Ô Õ Ö × Ø Ù Ú Û Ü Ý Þ ß E… à á â ã ä å æ ç è é ê ë ì í î ï F… ð ñ ò ó ô õ ö ÷ ø ù ú û ü ý þ ÿ

SP bedeutet hier Leerzeichen, NBSP festes Leerzeichen, SHY bedingter Trennstrich.

Obige Zeichen (nur ohne NBSP und SHY) als fortlaufender String (mit 189 Zeichen): " !"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{|}~¡¢£¤¥¦§¨©ª«¬®¯°±²³´µ¶·¸¹º»¼½¾¿ÀÁÂÃÄÅÆÇÈÉÊËÌÍÎÏÐÑÒÓÔÕÖ×ØÙÚÛÜÝÞßàáâãäåæçèéêëìíîïðñòóôõö÷øùúûüýþÿ" Eine IPSec-Testverbindung von bintec Router zu bintec Router mit genau diesem PSK (mit 189 Zeichen) ließ sich ordnungsgemäß aufbauen.

Weitere Hinweise

Verwenden Sie möglichst sichere Strings für den PSK. Auch die Länge des PSK spielt bei der Bewertung der Sicherheit eine wichtige Rolle. Gegenstellen anderer Hersteller unterstützen möglicherweise nur kürzere Strings und auch nicht alle obigen Zeichen und Sonderzeichen für den PSK.

Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern (z.B. auf der Konsole mit "cmd=save")
und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt: 26.+31.07.2018
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.3
Monat: 01/2018
kst