910
Bearbeitungen
Änderungen
Die Seite wurde neu angelegt: „'''<big>bintec Router-Serien und be.IP-Serie - Beispiel der Routerkonfiguration für die Einwahl eines bintec Secure IPSec Clients mit IKEv2 und Zertifikaten</…“
'''<big>bintec Router-Serien und be.IP-Serie - Beispiel der Routerkonfiguration für die Einwahl eines bintec Secure IPSec Clients mit IKEv2 und Zertifikaten</big>'''__NOEDITSECTION__
===Vorbemerkungen===
* Ein bintec Router soll beispielhaft konfiguriert werden für die Einwahl eines bintec Secure IPSec Clients mit IKEv2 und Zertifikaten.
* Vorausgesetzt wird eine ordnungsgemäße Konfiguration des bintec Secure IPSec Clients,
z.B. gemäß der FAQ "bintec Secure IPSec Client - Beispiel für die Konfiguration des bintec Secure IPSec Clients für eine IPSec Verbindung mit IKEv2 und Zertifikaten".
* Im vorliegenden Beispiel wird ein bintec R1202 mit Software-Version 10.1.27 Patch 6 verwendet.
* Auf dem bintec Gerät soll im Beispiel von initial unkonfiguriertem IPSec ausgegangen werden (entspr. Auslieferungszustand).
* Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
* Die Konfiguration der IPSec-Verbindung erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec".
* Die individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Im vorliegenden Beispiel wird vorausgesetzt, dass die notwendigen Schlüssel und Zertifikate bereits ordungsgemäß und passend erstellt wurden und
in das bintec Gerät importiert und "Gültig" sind. Bezüglich des Gültigkeitszeitraums der Zertifikate ist auf korrekte Werte von Datum und Uhrzeit
in den beteiligten Geräten zu achten. Die grundsätzliche Handhabung von Zertifikaten ist sehr gut in der Online-Hilfe und im Manual beschrieben.
===Vorgehensweise===
Im vorliegenden Beispiel soll sich ein bintec Secure IPSec Client über einen IPSec-Tunnel mit IKEv2 und Zertifikaten in einen bintec R1202 einwählen
und mit dessen LAN "11.11.11.0/24" verbinden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse des bintec R1202 fungieren.
Die notwendigen Schlüssel ("Public Keys") und Zertifikate (Zertifikat der Zertifizierungsstelle (CA) und Benutzerzertifikat) seien bereits ordungsgemäß
in den bintec R1202 importiert - bequemerweise im Format "PKCS#12 Kette".
Die Konfiguration des bintec R1202 erfolgt nun in fünf wesentlichen Schritten:
# Vorbereiten eines IP-Adress-Pools
# Anlegen des Phase-1-Profiles
# Anlegen des Phase-2-Profiles
# Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten
# Zuweisung der neuen Profile zum IPSec-Peer und Aktivierung von Proxy-ARP
====Schritt 1: Vorbereiten eines IP-Adress-Pools====
Das Anlegen des IP-Adress-Pools erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IP Pools" mit Klick auf "NEU".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des IP-Adress-Pools:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client01.png|none|IP-Adress-Pool]]
Bild 1: GUI-Menü mit der Konfiguration des IP-Adress-Pools
====Schritt 2: Anlegen des Phase-1-Profiles====
Das Anlegen des Phase-1-Profils für IKEv2 erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv2-Profil erstellen".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des neuen Phase-1-Profiles für IKEv2:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client02.png|none|Neues Phase-1-Profil für IKEv2]]
Bild 2: GUI-Menü mit den Beispielwerten des neuen Phase-1-Profiles für IKEv2
Unter "Erweiterte Einstellungen" bleiben Erreichbarkeitsprüfung und NAT-Traversal "Aktiviert", die Blockzeit bei "30" Sekunden.
Nach dem "OK" ist das neue Profil als "Standard" zu markieren.
====Schritt 3: Anlegen des Phase-2-Profiles====
Das Anlegen des Phase-2-Profiles erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "Neu".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des neuen Phase-2-Profiles:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client03.png|none|Neues Phase-2-Profil]]
Bild 3: GUI-Menü mit den Beispielwerten des neuen Phase-2-Profiles
Unter "Erweiterte Einstellungen" ist die Erreichbarkeitsprüfung "Inaktiv" auszuwählen.
Nach dem "OK" ist das neue Profil als "Standard" zu markieren.
====Schritt 4: Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten====
Das Anlegen des IPSec-Peers mit IKEv2 und Zertifikaten erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
Beispiel für das GUI-Menü des bintec R1202 mit Beispielwerten zur Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client04.png|none|IPSec-Peer mit IKEv2 und Zertifikaten]]
Bild 4: GUI-Menü des bintec R1202 mit der Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten
Hierbei sind im Feld Peer-ID der ID-Wert "CN=faq-filiale" und der ID-Typ "ASN.1-DN (Distinguished Name") die Parameter des (vollständigen) "Subjektnamens"
aus dem lokalen Zertifikat des bintec Secure IPSec Clients. Die Lokale IPv4-Adresse "11.11.11.117" ist hier die eigene LAN-IP-Adresse des bintec R1202.
Hinweis: Achten Sie generell beim IPSec ganz besonders auf korrekte Peer-IDs, Lokale IDs und die zugehörigen Peer-ID-Typen.
====Schritt 5: Zuweisung der neuen Profile zum IPSec-Peer und Aktivierung von Proxy-ARP====
Abschließend sind die beiden neuen Profile für Phase 1 und Phase 2 dem neuen IPSec-Peer noch explizit zuzuweisen. <br />
Außerdem ist hier auch noch das Proxy-ARP zu aktivieren, da im Beispiel die IP-Pool-Adresse im IP-Adressbereich des LAN-IP-Subnetzes des bintec R1202 liegt.
'''Achtung''':
Im Beispielfall ist deshalb auch am LAN-Interface des bintec R1202 das Proxy-ARP zu aktivieren.
GUI-Menü des neuen IPSec-Peers unter Erweiterte Einstellungen für die Zuweisung der neuen Profile und die Aktivierung des Proxy-ARP:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client05.png|none|Zuweisung der neuen Profile und Aktivierung von Proxy-ARP]]
Bild 5: GUI-Menü des neuen IPSec-Peers unter Erweiterte Einstellungen mit der Zuweisung der neuen Profile und der Aktivierung von Proxy-ARP
Nach dem "OK" wird der fertige neue IPSec-Peer in der Liste der IPSec-Peers unter "IKEv2 (Internet Key Exchange, Version 2)" mit seinen
beiden neuen Profilen angezeigt, hier als Beispiel bei aktiver VPN-IPSec-Verbindung:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client06.png|none|Fertiger neuer IPSec-Peer bei aktiver Verbindung]]
Bild 6: GUI-Menü mit dem fertigen neuen IPSec-Peer und seinen individuellen Profilen bei aktiver Verbindung
===Kontrolle der Funktion des konfigurierten neuen IPSec-Peers mit IKEv2 und Zertifikaten===
* Eine gute Kontrolle ermöglichen die Syslog-Meldungen am Prompt der Router-Konsole (z.B. mit Telnet) mittels Kommando "debug all&".
Beispielmeldungen auf der Konsole der IPSec-Gegenstelle bintec R1202 (Responder) bei der erfolgreichen VPN-IPSec-Einwahl des bintec Secure IPSec Clients:
<pre>r1202_ks:> debug all&
17:15:41 DEBUG/INET: NAT: new incoming session on ifc 1000 prot 17 192.168.4.117:500/192.168.4.117:500 <- 192.168.4.20:10952
17:15:41 DEBUG/IPSEC: IKE_SA: peer 0 () sa 2 (R): new ip 192.168.4.117 <- ip 192.168.4.20
17:15:41 DEBUG/INET: NAT: new incoming session on ifc 1000 prot 17 192.168.4.117:4500/192.168.4.117:4500 <- 192.168.4.20:10954
17:15:41 DEBUG/IPSEC: IKE_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) sa 2 (R): identified ip 192.168.4.117 <- ip 192.168.4.2017:15:41 DEBUG/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 0 (?): request for ip address received17:15:41 DEBUG/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 0 (?): ip address 11.11.11.50 assigned
17:15:41 DEBUG/IPSEC: IKE_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) sa 2 (R): [IkeSaInit] port change: local: 192.168.4.117:500->192.168.4.117:4500, remote: 192.168.4.20:10952->192.168.4.20:10954
17:15:41 INFO/IPSEC: IKE_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) sa 2 (R): done id der_asn1_dn([0..24]=CN=faq-zentrale) <- id der_asn1_dn([0..23]=CN=faq-filiale) [5c7c437d 954718a0 : 2219ab78 ebed8c5c]
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) traf 0 bundle 2 (R): created 11.11.11.0/24:0 < any > 11.11.11.50/32:0 rekeyed 0
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 2 (R): SA 3 established ESP[41f07b33] in[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 2 (R): SA 4 established ESP[deb89336] out[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
17:15:41 INFO/IPSEC: Activate Bundle 2 (Peer 1 Traffic -1)
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) traf 0 bundle 2 (R): established (192.168.4.117<->192.168.4.20) with 2 SAs life 7200 Sec/0 Kb rekey 6480 Sec/0 Kb Hb none PMTU
</pre>
Anschließend noch testweises Ping vom PC des bintec Secure IPSec-Clients durch den VPN-Tunnel zu einem Host im LAN der IPSec-Gegenstelle bintec R1202:
<pre>D:\Temp>ping -n 3 11.11.11.115
Ping wird ausgeführt für 11.11.11.115 mit 32 Bytes Daten:
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Ping-Statistik für 11.11.11.115:
Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust)
</pre>
===Abschlußbemerkung===
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis===
Erstellt: 16.2.2018 <br />
Produkt: bintec Router-Serien und be.IP-Serie <br />
Release: 10.1.27 Patch 6 <br />
KW: 13/2018 <br />
kst
[[Kategorie:VPN]]
[[Kategorie:VPN ALL-IP]]
<!-- RS-Serie, RSxx3-Serie, be.IP plus, be.IP-Serie, bintec Secure IPSec Client, IPSec-Verbindung, IPSec-Tunnel, VPN-Verbindung, VPN-Tunnel, IKEv2, RSA-Signatur, Zertifikat, Zertifikate, Subjektname, Subject Name -->
===Vorbemerkungen===
* Ein bintec Router soll beispielhaft konfiguriert werden für die Einwahl eines bintec Secure IPSec Clients mit IKEv2 und Zertifikaten.
* Vorausgesetzt wird eine ordnungsgemäße Konfiguration des bintec Secure IPSec Clients,
z.B. gemäß der FAQ "bintec Secure IPSec Client - Beispiel für die Konfiguration des bintec Secure IPSec Clients für eine IPSec Verbindung mit IKEv2 und Zertifikaten".
* Im vorliegenden Beispiel wird ein bintec R1202 mit Software-Version 10.1.27 Patch 6 verwendet.
* Auf dem bintec Gerät soll im Beispiel von initial unkonfiguriertem IPSec ausgegangen werden (entspr. Auslieferungszustand).
* Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
* Die Konfiguration der IPSec-Verbindung erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec".
* Die individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Im vorliegenden Beispiel wird vorausgesetzt, dass die notwendigen Schlüssel und Zertifikate bereits ordungsgemäß und passend erstellt wurden und
in das bintec Gerät importiert und "Gültig" sind. Bezüglich des Gültigkeitszeitraums der Zertifikate ist auf korrekte Werte von Datum und Uhrzeit
in den beteiligten Geräten zu achten. Die grundsätzliche Handhabung von Zertifikaten ist sehr gut in der Online-Hilfe und im Manual beschrieben.
===Vorgehensweise===
Im vorliegenden Beispiel soll sich ein bintec Secure IPSec Client über einen IPSec-Tunnel mit IKEv2 und Zertifikaten in einen bintec R1202 einwählen
und mit dessen LAN "11.11.11.0/24" verbinden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse des bintec R1202 fungieren.
Die notwendigen Schlüssel ("Public Keys") und Zertifikate (Zertifikat der Zertifizierungsstelle (CA) und Benutzerzertifikat) seien bereits ordungsgemäß
in den bintec R1202 importiert - bequemerweise im Format "PKCS#12 Kette".
Die Konfiguration des bintec R1202 erfolgt nun in fünf wesentlichen Schritten:
# Vorbereiten eines IP-Adress-Pools
# Anlegen des Phase-1-Profiles
# Anlegen des Phase-2-Profiles
# Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten
# Zuweisung der neuen Profile zum IPSec-Peer und Aktivierung von Proxy-ARP
====Schritt 1: Vorbereiten eines IP-Adress-Pools====
Das Anlegen des IP-Adress-Pools erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IP Pools" mit Klick auf "NEU".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des IP-Adress-Pools:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client01.png|none|IP-Adress-Pool]]
Bild 1: GUI-Menü mit der Konfiguration des IP-Adress-Pools
====Schritt 2: Anlegen des Phase-1-Profiles====
Das Anlegen des Phase-1-Profils für IKEv2 erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv2-Profil erstellen".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des neuen Phase-1-Profiles für IKEv2:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client02.png|none|Neues Phase-1-Profil für IKEv2]]
Bild 2: GUI-Menü mit den Beispielwerten des neuen Phase-1-Profiles für IKEv2
Unter "Erweiterte Einstellungen" bleiben Erreichbarkeitsprüfung und NAT-Traversal "Aktiviert", die Blockzeit bei "30" Sekunden.
Nach dem "OK" ist das neue Profil als "Standard" zu markieren.
====Schritt 3: Anlegen des Phase-2-Profiles====
Das Anlegen des Phase-2-Profiles erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "Neu".
Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des neuen Phase-2-Profiles:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client03.png|none|Neues Phase-2-Profil]]
Bild 3: GUI-Menü mit den Beispielwerten des neuen Phase-2-Profiles
Unter "Erweiterte Einstellungen" ist die Erreichbarkeitsprüfung "Inaktiv" auszuwählen.
Nach dem "OK" ist das neue Profil als "Standard" zu markieren.
====Schritt 4: Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten====
Das Anlegen des IPSec-Peers mit IKEv2 und Zertifikaten erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
Beispiel für das GUI-Menü des bintec R1202 mit Beispielwerten zur Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client04.png|none|IPSec-Peer mit IKEv2 und Zertifikaten]]
Bild 4: GUI-Menü des bintec R1202 mit der Konfiguration des IPSec-Peers mit IKEv2 und Zertifikaten
Hierbei sind im Feld Peer-ID der ID-Wert "CN=faq-filiale" und der ID-Typ "ASN.1-DN (Distinguished Name") die Parameter des (vollständigen) "Subjektnamens"
aus dem lokalen Zertifikat des bintec Secure IPSec Clients. Die Lokale IPv4-Adresse "11.11.11.117" ist hier die eigene LAN-IP-Adresse des bintec R1202.
Hinweis: Achten Sie generell beim IPSec ganz besonders auf korrekte Peer-IDs, Lokale IDs und die zugehörigen Peer-ID-Typen.
====Schritt 5: Zuweisung der neuen Profile zum IPSec-Peer und Aktivierung von Proxy-ARP====
Abschließend sind die beiden neuen Profile für Phase 1 und Phase 2 dem neuen IPSec-Peer noch explizit zuzuweisen. <br />
Außerdem ist hier auch noch das Proxy-ARP zu aktivieren, da im Beispiel die IP-Pool-Adresse im IP-Adressbereich des LAN-IP-Subnetzes des bintec R1202 liegt.
'''Achtung''':
Im Beispielfall ist deshalb auch am LAN-Interface des bintec R1202 das Proxy-ARP zu aktivieren.
GUI-Menü des neuen IPSec-Peers unter Erweiterte Einstellungen für die Zuweisung der neuen Profile und die Aktivierung des Proxy-ARP:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client05.png|none|Zuweisung der neuen Profile und Aktivierung von Proxy-ARP]]
Bild 5: GUI-Menü des neuen IPSec-Peers unter Erweiterte Einstellungen mit der Zuweisung der neuen Profile und der Aktivierung von Proxy-ARP
Nach dem "OK" wird der fertige neue IPSec-Peer in der Liste der IPSec-Peers unter "IKEv2 (Internet Key Exchange, Version 2)" mit seinen
beiden neuen Profilen angezeigt, hier als Beispiel bei aktiver VPN-IPSec-Verbindung:
[[Bild:IPSec-Peer_IKEv2_Zertifikat_für_IPSec-Client06.png|none|Fertiger neuer IPSec-Peer bei aktiver Verbindung]]
Bild 6: GUI-Menü mit dem fertigen neuen IPSec-Peer und seinen individuellen Profilen bei aktiver Verbindung
===Kontrolle der Funktion des konfigurierten neuen IPSec-Peers mit IKEv2 und Zertifikaten===
* Eine gute Kontrolle ermöglichen die Syslog-Meldungen am Prompt der Router-Konsole (z.B. mit Telnet) mittels Kommando "debug all&".
Beispielmeldungen auf der Konsole der IPSec-Gegenstelle bintec R1202 (Responder) bei der erfolgreichen VPN-IPSec-Einwahl des bintec Secure IPSec Clients:
<pre>r1202_ks:> debug all&
17:15:41 DEBUG/INET: NAT: new incoming session on ifc 1000 prot 17 192.168.4.117:500/192.168.4.117:500 <- 192.168.4.20:10952
17:15:41 DEBUG/IPSEC: IKE_SA: peer 0 () sa 2 (R): new ip 192.168.4.117 <- ip 192.168.4.20
17:15:41 DEBUG/INET: NAT: new incoming session on ifc 1000 prot 17 192.168.4.117:4500/192.168.4.117:4500 <- 192.168.4.20:10954
17:15:41 DEBUG/IPSEC: IKE_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) sa 2 (R): identified ip 192.168.4.117 <- ip 192.168.4.2017:15:41 DEBUG/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 0 (?): request for ip address received17:15:41 DEBUG/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 0 (?): ip address 11.11.11.50 assigned
17:15:41 DEBUG/IPSEC: IKE_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) sa 2 (R): [IkeSaInit] port change: local: 192.168.4.117:500->192.168.4.117:4500, remote: 192.168.4.20:10952->192.168.4.20:10954
17:15:41 INFO/IPSEC: IKE_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) sa 2 (R): done id der_asn1_dn([0..24]=CN=faq-zentrale) <- id der_asn1_dn([0..23]=CN=faq-filiale) [5c7c437d 954718a0 : 2219ab78 ebed8c5c]
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) traf 0 bundle 2 (R): created 11.11.11.0/24:0 < any > 11.11.11.50/32:0 rekeyed 0
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 2 (R): SA 3 established ESP[41f07b33] in[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) bundle 2 (R): SA 4 established ESP[deb89336] out[0] Mode tunnel enc aes-cbc (256 bit) auth sha (160 bit)
17:15:41 INFO/IPSEC: Activate Bundle 2 (Peer 1 Traffic -1)
17:15:41 INFO/IPSEC: CHILD_SA: peer 1 (IPSec Client IKEv2 mit Zertifika) traf 0 bundle 2 (R): established (192.168.4.117<->192.168.4.20) with 2 SAs life 7200 Sec/0 Kb rekey 6480 Sec/0 Kb Hb none PMTU
</pre>
Anschließend noch testweises Ping vom PC des bintec Secure IPSec-Clients durch den VPN-Tunnel zu einem Host im LAN der IPSec-Gegenstelle bintec R1202:
<pre>D:\Temp>ping -n 3 11.11.11.115
Ping wird ausgeführt für 11.11.11.115 mit 32 Bytes Daten:
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=62
Ping-Statistik für 11.11.11.115:
Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust)
</pre>
===Abschlußbemerkung===
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis===
Erstellt: 16.2.2018 <br />
Produkt: bintec Router-Serien und be.IP-Serie <br />
Release: 10.1.27 Patch 6 <br />
KW: 13/2018 <br />
kst
[[Kategorie:VPN]]
[[Kategorie:VPN ALL-IP]]
<!-- RS-Serie, RSxx3-Serie, be.IP plus, be.IP-Serie, bintec Secure IPSec Client, IPSec-Verbindung, IPSec-Tunnel, VPN-Verbindung, VPN-Tunnel, IKEv2, RSA-Signatur, Zertifikat, Zertifikate, Subjektname, Subject Name -->