910
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
<!-- __NOTOC__= no table of content -->
===Vorbemerkungen:===
* Zur Einwahl eines iPhone 7 über eine IPSec-VPN-Verbindung mit IKEv1 soll eine bintec elmeg be.IP plus passend konfiguriert werden. <br />
Die grundsätzlichen inividuellen Parameterbeschreibungen findet man im Kontext-Menü der Online-Hilfe und im Manual. <br />
Auf dem bintec Gerät soll von initial unkonfiguriertem IPSec ausgegangen werden (entspr. Auslieferungszustand). <br />
===Vorgehensweise===
Im vorliegenden Beispiel soll ein iPhone 7 mittels eines IPSec-Tunnels mit IKEv1 über das Internet mit dem LAN 10.10.10.0/24 des be.IP plus verbunden werden. <br />
===Konfiguration der be.IP plus mit Software-Version 10.1.27 Patch 3===
====Vorbereiten eines IP-Adress-Pools in der be.IP plus====
Bild 6: GUI-Menü der be.IP plus mit der Anpassung des Profils Phase2 "Multi-Proposal" <br />
Beispiel für das Konfigurationsmenü des iPhone 7 mit Beispieleingaben für die VPN-IPSec-Verbindung:
Bild 7: Konfigurationsmenü des iPhone 7 mit den Einstellungen der VPN-IPSec-Verbindung <br />
===Kontrolle des Verbindungsaufbaus der IPSec-VPN-Verbindung mit IKEv1===
* Eine Kontrolle des Verbindungsaufbaus kann z.B. am Prompt der Telnet-Konsole (auch SSH oder seriell) mit dem Kommando "debug all&" erfolgen.
<PRE>
be.ip_plus_ks:> debug all&
16:30:45 DEBUG/INET: NAT: new incoming session on ifc 30010001 prot 17 93.206.212.230:500/93.206.212.230:500 <- 89.204.130.7:3600216:30:45 DEBUG/IPSEC: P1: peer 0 () sa 27 (R): new ip 93.206.212.230 <- ip 89.204.130.716:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d380000000'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '4a131c81070358455c5728f20e95452f'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '4df37928e9fc4fd1b3262170d515c662'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '8f8d83826d246b6fc7a8a6a428c11de8'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '439b59f8ba676c4c7737ae22eab8f582'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '4d1e0e136deafa34c4f3ea9f02ec7285'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '80d0bb3def54565ee84645d4c85ce3ee'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '9909b64eed937c6573de52ace952fa6b'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is 'draft-ietf-ipsra-isakmp-xauth-06'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is '12f5f28c457168a9702d9fe274cc0100'16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'16:30:45 DEBUG/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): identified ip 93.206.212.230 <- ip 89.204.130.716:30:46 DEBUG/INET: NAT: new incoming session on ifc 30010001 prot 17 93.206.212.230:4500/93.206.212.230:4500 <- 89.204.130.7:3673316:30:46 DEBUG/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): [Aggr] NAT-T: port change: local: 93.206.212.230:500->93.206.212.230:4500, remote: 89.204.130.7:36002->89.204.130.7:3673316:30:46 INFO/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): done id fqdn(any:0,[0..3]=test) <- id key_id(any:0,[0..3]=test) AG[919b0e59 6a0cbc2a : 948b38bf 932b8d15]16:30:46 INFO/IPSEC: XAUTH: peer 1 (Tunnel_iPhone7) sa 27 (I): request client for extended authentication16:30:46 DEBUG/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): Notify "Initial contact notification" from 89.204.130.7:36733 for protocol ISAKMP spi[16]=919B0E5916:30:47 INFO/IPSEC: XAUTH: peer 1 (Tunnel_iPhone7) sa 27 (I): reply for extended authentication received16:30:47 INFO/IPSEC: XAUTH: peer 1 (Tunnel_iPhone7) sa 27 (I): extended authentication for user 'user' succeeded16:30:47 INFO/IPSEC: CFG: peer 1 (Tunnel_iPhone7) sa 27 (R): request for ip address received16:30:47 INFO/IPSEC: CFG: peer 1 (Tunnel_iPhone7) sa 27 (R): ip address 10.10.10.10 assigned16:30:47 DEBUG/VOIP: IWU: trap_handler_ip_address(ev=0xFFFFFFFF)16:30:47 DEBUG/VOIP: IWU: iwu_cb_mib_ip_update(user=(null), old_address=(null), new_address=10.10.10.111,38100001)16:30:47 INFO/IPSEC: P2: peer 1 (Tunnel_iPhone7) traf 0 bundle 12 (R): created 0.0.0.0/0:0 < any > 10.10.10.10/32:0 rekeyed 016:30:47 DEBUG/IPSEC: P2: peer 1 (Tunnel_iPhone7) traf 0 bundle 12 (R): SA 23 established ESP[51c2ba16] in[0] Mode tunnel enc aes-cbc (256 bit) auth md5 (128 bit)16:30:47 DEBUG/IPSEC: P2: peer 1 (Tunnel_iPhone7) traf 0 bundle 12 (R): SA 24 established ESP[0c8e9bcf] out[0] Mode tunnel enc aes-cbc (256 bit) auth md5 (128 bit)16:30:47 INFO/IPSEC: Activate Bundle 12 (Peer 1 Traffic -1)16:30:47 INFO/IPSEC: P2: peer 1 (Tunnel_iPhone7) traf 0 bundle 12 (R): established (93.206.212.230<->89.204.130.7) with 2 SAs life 3600 Sec/0 Kb rekey 3240 Sec/0 Kb Hb none PMTUbe.ip_plus_ks:> ping -c2 10.10.10.10&be.ip_plus_ks:> PING 10.10.10.10: 64 data bytes64 bytes from 10.10.10.10: icmp_seq=0. time=837.613 ms64 bytes from 10.10.10.10: icmp_seq=1. time=914.451 ms----10.10.10.10 PING Statistics----2 packets transmitted, 2 packets received, 0% packet lossround-trip (ms) min/avg/max = 837.613/876.032/914.451be.ip_plus_ks:>
</PRE>
===Abschlußbemerkung===