910
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
Bild 3: GUI-Menü der be.IP plus mit Konfiguration des IPSec-Peers mit IKEv1
'''Achtung: ''' <br />
Bei "Peer-ID" muß der Typ "Schlüssel-ID" ausgewählt werden. Aus Sicherheitsgründen kommt es hier auf die exakten Schreibweisen von "ID" und "PSK" an, wobei der "Pre-shared Key" ganz besonders sicherheitsrelevant ist und möglichst lang bzw. kompliziert eingegeben werden sollte. Diese beiden Werte müssen natürlich auch im Apple iPhone 7 in geeigneter Weise hinterlegt sein.
'''Ergänzung:''' <br />
Neuere Versionen des iPhone verwenden für ihre ID ggf. den ID-Typ "FQDN", so z.B. iPhone Version 12.2 bei Verwendung von "IKEv2". In solchen Fällen muß bei "Peer-ID" natürlich der Typ "Fully Qualified Domain Name (FQDN)" ausgewählt werden.
Mit dem Klick auf "OK" werden die Profile Phase1 IKEv1 "Multi-Proposal" und Phase2 "Multi-Proposal" automatisch generiert (bei initial unkonfiguriertem IPSec), aber dem IPSec-Peer noch nicht explizit zugewiesen. Außerdem ist auch noch das vorbereitete XAUTH-Profil auszuwählen und das Proxy-ARP zu aktivieren, da im Beispiel die IP-Pool-Adresse im Bereich des LAN-IP-Subnetzes liegt. Im Beispielfall ist deshalb auch am LAN-Interface das Proxy-ARP zu aktivieren.
16:30:45 INFO/IPSEC: P1: peer 0 () sa 27 (R): Vendor ID: 89.204.130.7:36002 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
16:30:45 DEBUG/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): identified ip 93.206.212.230 <- ip 89.204.130.7
16:30:46 DEBUG/INET: NAT: new incoming session on ifc 30010001 prot 17 93.206.212.230:4500/93.206.212.230:4500 <- 89.204.130.7:36733163673316:30:46 DEBUG/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): [Aggr] NAT-T: port change: local: 93.206.212.230:500->93.206.212.230:4500, remote: 89.204.130.7:36002->89.204.130.7:36733
16:30:46 INFO/IPSEC: P1: peer 1 (Tunnel_iPhone7) sa 27 (R): done id fqdn(any:0,[0..3]=test) <- id key_id(any:0,[0..3]=test) AG[919b0e59 6a0cbc2a : 948b38bf 932b8d15]
16:30:46 INFO/IPSEC: XAUTH: peer 1 (Tunnel_iPhone7) sa 27 (I): request client for extended authentication