IPSec Verbindung mit "IKEv1" zwischen einem Apple iPhone / iPad und einem bintec Router - Konfiguration: GUI (Weboberfläche)

Diese FAQ beschreibt die Konfiguration über die GUI von einer IPSec Verbindung mit "IKEv1" zwischen einem Apple iPhone / iPad (in der FAQ generell als iPhone bezeichnet) und einem bintec RS353jw. Im Beispiel wurde die Software Version 9.1 Rev. 12 Patch 4 verwendet. Andere bintec Router mit vergleichbaren Softwareversionen sind identisch bzw. analog zu konfigurieren.

Hinweis: Ab dem Apple iOS 10 ist "IKEv2" der Default-Wert für IPSec-Tunnel. Zum Betrieb mit "IKEv1" ist im iPhone der "Typ" auf "IPSec" umzustellen.

Szenario

Voraussetzungen

• bintec Router ist über das Internet erreichbar (z.B. ihrname.dyndns.org)
• auf dem bintec ist mindestens die Software Version 7.8.7
• auf dem iPhone ist mindestens die Software Version 2.0 installiert

Konfiguration bintec Router

Als erstes muss ein IP Pool für IPSec Clients angelegt werden.
Dies erfolgt in der GUI unter VPN -> IPSec -> IP Pools



Des Weiteren muss ein Xauth Profil angelegt werden. Wählen Sie dazu den Menüpunkt "XAUTH Profile".

Als Rolle ist Server zu wählen, als Modus Lokal. Für jeden Benutzer / iPhone ist ein seperater Name mit Passwort hinzuzufügen.



Einstellungen für die Phase 1
Bitte beachten Sie, dass vom iPhone nicht alle Cipher und Hash Methoden unterstützt werden! Erfolgreich getestete Kombinationen sind zum Beispiel: AES/MD5, AES/SHA1, DES/MD5, DES3/MD5.

In den erweiterten Einstellungen ist als Erreichbarkeitsprüfung unbedingt "Dead Peer Detection Idle" zu wählen sowie NAT-Traversal zu aktivieren.



Bitte beachten Sie, dass das iPhone nur ESP, aber kein AH unterstützt.
Die Option "PFS-Gruppe verwenden" muss inaktiv sein.



Nun können Sie den IPSec-Peer anlegen.

Achtung: Bei der Peer-ID ist ab Software Version 7.10.1 zwingend der Typ "Schlüssel-ID" zu verwenden.
Ergänzung: Ab dem Apple iOS 10 ist IKEv2 der Default-Wert für IPSec-Tunnel. Zum Betrieb mit IKEv1 ist im iPhone der "Typ" auf "IPSec" umzustellen. Neuere Versionen des iPhone verwenden für ihre ID ggf. den ID-Typ "FQDN", so z.B. iPhone Version 12.2 bei Verwendung von "IKEv2". In solchen Fällen muß bei "Peer-ID" natürlich der Typ "Fully Qualified Domain Name (FQDN)" ausgewählt werden.

Bitte wählen Sie "Server für den IKE-Konfigurationsmodus" als Adressvergabe und wählen Sie den angelegten IP Adress Pool aus. In den Erweiterten Einstellungen sind die beiden gerade angelegten Phase-1 und Phase-2 Profile zu wählen sowie das XAUTH-Profil.




Übernehmen Sie die Einstellungen aus dem Screenshot, die Bezeichnungen sind natürlich nur beispielhaft. Möchten Sie für das iPhone / iPad eine IP-Adresse aus dem gleichem Subnetz zuweisen, das Sie auch lokal verwenden, so ist Proxy ARP zu aktivieren (zusätzlich auch am LAN-Interface des Routers). Verwenden Sie ein anderes Subnetz, so bleibt Proxy ARP inaktiv.

Konfiguration des Apple iPhone

Wählen Sie die Optionen: "Einstellungen" ->" Allgemein" -> "VPN" -> "VPN-Konfiguration hinzufügen".
Es gibt die Optionen L2TP, PPTP und IPSec. Hier ist "IPSec" zu wählen.



Beschreibung: Eingabe des Verbindungsnamens, z.B. "IPSec Tunnel"
Server: die Adresse des bintec Routers im Internet, z.B. "ihrname.dyndns.org"
Account: Name des XAUTH Profil-Users z.B. "iphone"
Kennwort: Passwort des XAUTH Profil-Users, z.B. "Test123"
Gruppenname: Achtung! Es handelt sich um die Peer ID des IPSec Peers (Einstellung am Router)
Shared Secret: geben Sie Ihren PreShared Key ein, z.B. "Test123"

VPN-IPSec Tunnel Aufbau

Wählen Sie im Untermenü
"Einstellungen" -> "Allgemein" -> "VPN" ihre gerade konfigurierte VPN Verbindung aus.



Aktivieren Sie den Button VPN. Damit startet das Apple iPhone den Aufbau des IPSec VPN Tunnels.

Status VPN-IPSec Verbindung

Auf dem iPhone ist unter "Status" die aktive IPSec Verbindung ersichtlich:



Auf dem bintec Router sollten unter "Monitoring" > "Internes Protokoll" folgende Syslogmeldungen auftauchen:



lm