bintec Router-Serien und be.IP-Serie - Beispiel für die Konfiguration einer IPSec-Verbindung (IKEv1) von einer FRITZ!Box zu einem bintec Router

Version vom 29. Mai 2018, 10:59 Uhr von Klaus Stavemann (Diskussion | Beiträge)

bintec Router-Serien und be.IP-Serie - Beispiel für die Konfiguration einer IPSec-Verbindung (IKEv1) von einer FRITZ!Box zu einem bintec Router

Inhaltsverzeichnis

Vorbemerkungen

  • Durch einen VPN-Tunnel soll das LAN einer Außenstelle mittels IPSec (IKEv1) routingtechnisch mit dem LAN eines bintec R1202 in der Zentrale verbunden werden.
  • Im vorliegenden Beispiel soll diese "LAN-zu-LAN"-Verbindung von einer FRITZ!Box 7490 mit Firmware Version 6.83 in der Außenstelle zu einem bintec R1202 mit Firmware Version 10.2.2 Patch 2 in der Zentrale aufgebaut werden.
  • Auf beiden Geräten wird im vorliegenden Beispiel von einem bereits vorhandenen Internet-Zugang und von initial unkonfiguriertem IPSec ausgegangen.
  • Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Die Konfiguration der IPSec-Verbindung erfolgt generell mittels GUI, im bintec Router im Wesentlichen im GUI Menü "VPN" unter "IPSec".
  • Die individuellen Einstellparameterbeschreibungen des bintec Routers sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Vorgehensweise

Im vorliegenden Beispiel soll das LAN "192.168.188.0/24" einer FRITZ!Box 7490 in der Filiale durch einen IPSec-Tunnel (IKEv1) mit dem LAN "192.168.0.0/24" eines bintec R1202 in der Zentrale verbunden werden. Die IP-Adresse "212.0.0.1" soll hierbei als "öffentliche" WAN-IP-Adresse des bintec R1202 in der Zentrale fungieren und die IP-Adresse "212.0.0.2" als "öffentliche" WAN-IP-Adresse der FRITZ!Box 7490 in der Filiale.

Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten:

  1. VPN-Konfiguration der FRITZ!Box 7490
  2. Vorbereiten von IP-Adress-Pool, Phase-1-Profil und Phase-2-Profil im bintec R1202
  3. Konfiguration des IPSec-Peers im bintec R1202 in der Zentrale

Schritt 1: VPN-Konfiguration der FRITZ!Box 7490

Das Anlegen der IPSec-Verbindung erfolgt im Menü "Internet" unter "Freigaben" auf dem Tab "VPN" mit Klick auf "VPN-Verbindung hinzufügen".

Beispiel für das Menü der FRITZ!Box 7490 in der Außenstelle zur Auswahl der Art der VPN-Verbindung:

FRITZ!Box: Art der VPN-Verbindung

Bild 1: Konfigurationsmenü der FRITZ!Box 7490 in der Außenstelle mit der Auswahl der Art der VPN-Verbindung

Im vorliegenden Beispiel konnte mit der Auswahl "Diese FRITZ!Box mit einem Firmen-VPN verbinden" erfolgreich gearbeitet werden. Weiter geht es mit Klick auf "Weiter".

Beispiel für das Menü der FRITZ!Box 7490 in der Außenstelle mit Beispielwerten zur Konfiguration der VPN-Verbindung:

FRITZ!Box: VPN-Konfiguration

Bild 2: Konfigurationsmenü der FRITZ!Box 7490 in der Außenstelle mit den Beispielwerten der VPN-Verbindung

Aus Sicherheitsgründen sollte der "Preshared Key" möglichst lang bzw. kompliziert sein. Zum Abschluß Klick auf "OK".

Anschließend wird die neu erstellte VPN-Verbindung im VPN-Menü der FRITZ!Box 7490 aufgelistet:

FRITZ!Box: VPN-Verbindungsliste

Bild 3: VPN-Menü der FRITZ!Box 7490 in der Außenstelle mit der neu erstellten VPN-Verbindung

Schritt 2: Vorbereiten von IP-Adress-Pool, Phase-1-Profil und Phase-2-Profil im bintec R1202

IP-Adress-Pool einrichten im bintec R1202 in der Zentrale

Das Anlegen des IP-Adress-Pools erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IP Pools" mit Klick auf "NEU".

Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des IP-Adress-Pools:

IP-Adress-Pool Zentrale

Bild 4: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des IP-Adress-Pools "FRITZ!Box"

Phase-1-Profil einrichten im bintec R1202 in der Zentrale

Das Anlegen des Phase-1-Profiles erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".

Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-1-Profils:

Phase-1-Profil Zentrale

Bild 5: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des Phase-1-Profils "FRITZ!Box"

Im vorliegenden Beispiel konnte mit dem Proposal "AES-256/SHA1/DH-Gruppe 2(1024Bit)" erfolgreich gearbeitet werden.
Unter "Erweiterte Einstellungen" ist bei Erreichbarkeitsprüfung die "Dead Peer Detection (Idle)" auszuwählen.

Phase-2-Profil einrichten im bintec R1202 in der Zentrale

Das Anlegen des Phase-2-Profiles erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "Neu".

Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-2-Profils:

Phase-2-Profil Zentrale

Bild 6: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des Phase-2-Profils "FRITZ!Box"

Im vorliegenden Beispiel konnte mit dem Proposal "AES-256/SHA1/PFS-Gruppe deaktiviert" erfolgreich gearbeitet werden.
Unter "Erweiterte Einstellungen" ist hier die Erreichbarkeitsprüfung "Inaktiv" auszuwählen.

Schritt 3: Konfiguration des IPSec-Peers im bintec R1202 in der Zentrale

Das Anlegen des IPSec-Peers mit IKEv1 und PSK erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".

Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des IPSec-Peers:

IPSec-Peer Zentrale

Bild 7: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des IPSec-Peers "FRITZ!Box"

Achtung:
Bei "Peer-ID" ist hier der Typ "Schlüssel-ID" (="Key-ID") zu verwenden.

Aus Sicherheitsgründen kommt es hier auf die exakten Schreibweisen von "ID" und "Preshared Key" (PSK) an, wobei der "Preshared Key" ganz besonders sicherheitsrelevant ist und möglichst lang bzw. kompliziert eingegeben werden sollte. Diese Werte müssen natürlich auch in der FRITZ!Box geeignet hinterlegt sein.

Die "Lokale IP-Adresse" ist im Beispiel die eigene LAN-IP-Adresse "192.168.0.117" des bintec R1202 in der Zentrale.

Zu den Erweiterten Einstellungen und Proxy-ARP:
Hier sind die beiden neu angelegten Profile für Phase-1 ("FRITZ!Box") und für Phase-2 ("FRITZ!Box") auszuwählen. Außerdem ist noch Proxy-ARP zu aktivieren, da im Beispiel die IP-Pool-Adresse im Bereich des LAN-IP-Subnetzes des bintec R1202 in der Zentrale liegt. Deshalb ist im Beispielfall auch am LAN-Interface des bintec R1202 das Proxy-ARP zu aktivieren.

Kontrolle der Funktion des neu konfigurierten VPN-Tunnels

Anzeige der erfolgreich (durch Nutztraffic) aktivierten VPN-Verbindung im VPN-Menü der FRITZ!Box 7490 in der Außenstelle:

FRITZ!Box: aktive VPN-Verbindung

Bild 8: VPN-Menü der FRITZ!Box 7490 in der Außenstelle mit der aktiven VPN-Verbindung

Bei erfolgreicher Aktivierung der VPN-Verbindung meldet die FRITZ!Box außerdem im Menü "System" unter "Ereignisse" (mit den Werten des Beipiels):
"28.05.18 16:16:09 VPN-Verbindung zu 212.0.0.1 wurde erfolgreich hergestellt."

Eine detaillierte Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Konsole (Telnet, SSH oder seriell) des bintec R1202 in der Zentrale.
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-IPSec-Einwahl durch den Initiator FRITZ!Box der Filiale:

r1202_ks:> debug all&
16:19:23 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:500
16:19:23 DEBUG/IPSEC: P1: peer 0 () sa 13 (R): new ip 212.0.0.1 <- ip 212.0.0.2
16:19:23 INFO/IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.0.0.2:500 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'
16:19:23 INFO/IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.0.0.2:500 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
16:19:23 INFO/IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.0.0.2:500 (No Id) is '4a131c81070358455c5728f20e95452f'
16:19:23 INFO/IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.0.0.2:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
16:19:23 INFO/IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.0.0.2:500 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
16:19:23 INFO/IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.0.0.2:500 (No Id) is 'a2226fc364500f5634ff77db3b74f41b'
16:19:23 DEBUG/IPSEC: P1: peer 1 (FRITZ!Box) sa 13 (R): identified ip 212.0.0.1 <- ip 212.0.0.2
16:19:23 DEBUG/IPSEC: P1: peer 1 (FRITZ!Box) sa 13 (R): notify id fqdn(any:0,[0..4]=r1202) <- id key_id(any:0,[0..8]=FRITZ!Box): Initial contact notification proto 1 spi(16) = [d791d8b2 6eb817e4 : d0d179b1 34febcb5]
16:19:23 INFO/IPSEC: P1: peer 1 (FRITZ!Box) sa 13 (R): done id fqdn(any:0,[0..4]=r1202) <- id key_id(any:0,[0..8]=FRITZ!Box) AG[d791d8b2 6eb817e4 : d0d179b1 34febcb5]
16:19:23 INFO/IPSEC: CFG: peer 1 (FRITZ!Box) sa 13 (R): request for ip address received
16:19:23 INFO/IPSEC: CFG: peer 1 (FRITZ!Box) sa 13 (R): ip address 192.168.0.50 assigned
16:19:23 INFO/IPSEC: P2: peer 1 (FRITZ!Box) traf 0 bundle 8 (R): created 0.0.0.0/0:0 < any > 192.168.0.50/32:0 rekeyed 0
16:19:23 DEBUG/IPSEC: P2: peer 1 (FRITZ!Box) traf 0 bundle 8 (R): SA 15 established ESP[1d57c370] in[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
16:19:23 DEBUG/IPSEC: P2: peer 1 (FRITZ!Box) traf 0 bundle 8 (R): SA 16 established ESP[c6779679] out[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
16:19:23 INFO/IPSEC: Activate Bundle 8 (Peer 1 Traffic -1)
16:19:23 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 50 212.0.0.1:0/212.0.0.1:0 -> 212.0.0.2:0
16:19:23 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 50 212.0.0.1:0/212.0.0.1:0 <- 212.0.0.2:0
16:19:23 INFO/IPSEC: P2: peer 1 (FRITZ!Box) traf 0 bundle 8 (R): established  (212.0.0.1<->212.0.0.2) with 2 SAs life 3600 Sec/0 Kb rekey 3240 Sec/0 Kb Hb none PMTU
r1202_ks:>

Abschließend noch testweises Ping von einem Host im LAN der FRITZ!Box der Filiale durch den VPN-IPSec-Tunnel zu einem Host im LAN des R1202 in der Zentrale:

rs353jw_ks:> ping -c3 192.168.0.110&
rs353jw_ks:> PING 192.168.0.110: 64 data bytes
64 bytes from 192.168.0.110: icmp_seq=0. time=2.029 ms
64 bytes from 192.168.0.110: icmp_seq=1. time=1.464 ms
64 bytes from 192.168.0.110: icmp_seq=2. time=1.469 ms
----192.168.0.110 PING Statistics----
3 packets transmitted, 3 packets received, 0% packet loss

Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt: 28.+29.5.2018
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.2 Patch 2
Monat: 05/2018
kst