Änderungen

IPSec Verbindung mit "IKEv1" - Apple iPhone / iPad - bintec Router

4.644 Byte hinzugefügt, 17:00, 7. Mär. 2016
Die Seite wurde neu angelegt: „IPSec Verbindung zwischen einem Apple iPhone / iPad und einem bintec Router - Konfiguration: GUI (Weboberfläche) Diese FAQ beschreibt die Konfiguration über…“
IPSec Verbindung zwischen einem Apple iPhone / iPad und einem bintec Router - Konfiguration: GUI (Weboberfläche)

Diese FAQ beschreibt die Konfiguration über die GUI von einer IPSec Verbindung zwischen einem Apple iPhone / iPad (in der FAQ generell als iPhone bezeichnet) und einem bintec RS353jw. Im Beispiel wurde die Software Version 9.1 Rev. 12 Patch 4 verwendet. Andere bintec Router mit vergleichbaren Softwareversionen sind identisch bzw. analog zu konfigurieren.


=Szenario=

[[Datei:IPSec-iPhone-RS353.png|520px|Szenario]]
<br />
<br />
=Voraussetzungen=
* bintec Router ist über das Internet erreichbar (z.B. ihrname.dyndns.org)
* auf dem bintec ist mindestens die Software Version 7.8.7
* auf dem iPhone ist mindestens die Software Version 2.0 installiert

=Konfiguration bintec Router=

Als erstes muss ein IP Pool für IPSec Clients angelegt werden.<br />
Dies erfolgt in der GUI unter VPN -> IPSec -> IP Pools<br />
<br />
[[Datei:IPSec-iPhone-RS353_IPPool.png|Anlegen des IP Pools]]
<br />
<br />
Des Weiteren muss ein Xauth Profil angelegt werden. Wählen Sie dazu den Menüpunkt "XAUTH Profile".
<br />
<br />
Als Rolle ist Server zu wählen, als Modus Lokal.
Für jeden Benutzer / iPhone ist ein seperater Name mit Passwort hinzuzufügen.<br />
<br />
[[Datei:IPSec-iPhone-RS353_XAUTH.png|Anlegen des XAuth Profils]]
<br />
<br />
Einstellungen für die Phase 1<br />
Bitte beachten Sie, dass vom iPhone nicht alle Cipher und Hash Methoden unterstützt werden! Erfolgreich getestete Kombinationen sind zum Beispiel: AES/MD5, AES/SHA1, DES/MD5, DES3/MD5.<br />
<br />
In den erweiterten Einstellungen ist als Erreichbarkeitsprüfung unbedingt "Dead Peer Detection Idle" zu wählen sowie NAT-Traversal zu aktivieren.<br />
<br />
[[Datei:IPSec-iPhone-RS353_Phase1.png|Anlegen des Phase 1 Profils]]
<br />
<br />
Bitte beachten Sie, dass das iPhone nur ESP, aber kein AH unterstützt.<br />
Die Option "PFS-Gruppe verwenden" muss inaktiv sein.<br />
<br />
[[Datei:IPSec-iPhone-RS353_Phase2.png|Anlegen des Phase 2 Profils]]
<br />
<br />
Nun können Sie den IPSec-Peer anlegen. <br />
<br />
'''Achtung! Bei der Peer-ID ist ab Software Version 7.10.1 zwingend der Typ "Schlüssel-ID" zu verwenden.'''<br />
<br />
Bitte wählen Sie "Server für den IKE-Konfigurationsmodus" als Adressvergabe und wählen Sie den angelegten IP Adress Pool aus. In den Erweiterten Einstellungen sind die beiden gerade angelegten Phase-1 und Phase-2 Profile zu wählen sowie das XAUTH-Profil.<br />
<br />
[[Datei:IPSec-iPhone-RS353_Peer1.png|Anlegen des IPSec Peers]]<br />
[[Datei:IPSec-iPhone-RS353_Peer2.png|Anlegen des IPSec Peers Erweitert]]
<br />
<br />
Übernehmen Sie die Einstellungen aus dem Screenshot, die Bezeichnungen sind natürlich nur beispielhaft. Möchten Sie für das iPhone / iPad eine IP-Adresse aus dem gleichem Subnetz zuweisen, das Sie auch lokal verwenden, so ist Proxy ARP zu aktivieren (zusätzlich auch am LAN-Interface des Routers). Verwenden Sie ein anderes Subnetz, so bleibt Proxy ARP inaktiv.<br />

=Konfiguration des Apple iPhone=

Wählen Sie die Optionen: "Einstellungen" ->" Allgemein" -> "Netzwerk" -> "VPN" -> "VPN-Konfiguration hinzufügen".<br />
Es gibt die Optionen L2TP, PPTP und IPSec. Hier ist "IPSec" zu wählen.<br />
<br />
[[Datei:IPSec-iPhone-RS353_VPN-iPhone-Konfig.jpg|Konfiguration des Tunnels auf dem iPhone]]
<br />
<br />
'''Beschreibung:''' Eingabe des Verbindungsnamens, z.B. "IPSec Tunnel"<br />
'''Server:''' die Adresse des bintec Routers im Internet, z.B. "ihrname.dyndns.org"<br />
'''Account:''' Name des XAUTH Profil-Users z.B. "iphone"<br />
'''Kennwort:''' Passwort des XAUTH Profil-Users, z.B. "Test123"<br />
'''Gruppenname:''' Achtung! Es handelt sich um die Peer ID des IPSec Peers<br />
'''Shared Secret:''' geben Sie Ihren PreShared Key ein, z.B. "Test123"<br />
<br />

=VPN-IPSec Tunnel Aufbau=

Wählen Sie im Untermenü<br />
"Einstellungen" -> "Allgemein" -> "Netzwerk" -> "VPN" ihre gerade konfigurierte VPN Verbindung aus.<br/>
<br />
[[Datei:IPSec-iPhone-RS353_VPN-iPhone.jpg|Auswahl der konfigurierten VPN Verbindung]]
<br />
<br />
Aktivieren Sie den Button VPN. Damit startet das Apple iPhone den Aufbau des IPSec VPN Tunnels.<br />
<br />

=Status VPN-IPSec Verbindung=

Auf dem iPhone ist unter "Status" die aktive IPSec Verbindung ersichtlich:<br />
<br />
[[Datei:IPSec-iPhone-RS353_Status.jpg|Einsehen des Status]]
<br />
<br />
Auf dem bintec Router sollten unter "Monitoring" > "Internes Protokoll" folgende Syslogmeldungen auftauchen:<br />
<br />
[[Datei:IPSec-iPhone-RS353_Debug.jpg|Debug Meldungen]]
<br />
<br />
lm<br />
53
Bearbeitungen