bintec Router-Serien - Einfaches Beispiel für eine verschlüsselte LAN-zu-LAN-Verbindung mit Layer 2 Tunneling Protocol (L2TP)

Aus bintec elmeg Support-Wiki / FAQ

Wechseln zu: Navigation, Suche

bintec Router-Serien - Einfaches Beispiel für eine verschlüsselte LAN-zu-LAN-Verbindung mit Layer 2 Tunneling Protocol (L2TP)

Vorbemerkungen

  • Über einen L2TP-VPN-Tunnel sollen zwei örtlich getrennt liegende LANs routingtechnisch miteinander verbunden werden ("LAN-zu-LAN").
  • Als Beispiel soll mittels Layer 2 Tunneling Protocol (L2TP) eine einfache, verschlüsselte "LAN-zu-LAN"-Verbindung zwischen zwei bintec Routern hergestellt werden, einem RS353jw als Initiator (Filiale) und einem R1202 als Responder (Zentrale), beide mit Firmware Rel.10.1.27.
  • Andere Geräte der bintec Router-Serien mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Exportieren Sie Ihre aktiven Konfigurationen in externe Dateien, bevor Sie mit Änderungen an der Konfiguration beginnen.

Die Konfiguration erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "L2TP".

Die grundsätzliche Funktion von L2TP ist sehr gut in der Online-Hilfe und im Manual beschrieben:
"Das Layer-2-Tunnelprotokoll (L2TP) ermöglicht das Tunneling von PPP-Verbindungen über eine UDP-Verbindung.
Ihr bintec elmeg-Gerät unterstützt die folgenden zwei Modi:
L2TP-LNS-Modus (L2TP Network Server): nur für eingehende Verbindungen.
L2TP-LAC-Modus (L2TP Access Concentrator): nur für ausgehende Verbindungen.
Folgendes ist bei der Konfiguration von Server und Client zu beachten:
Auf beiden Seiten (LAC und LNS) muss jeweils ein L2TP-Tunnelprofil angelegt werden.
Auf der Auslöserseite (LAC) wird das entsprechende L2TP-Tunnelprofil für den Verbindungsaufbau verwendet.
Auf der Responderseite (LNS) wird das L2TP-Tunnelprofil für die Verbindungsannahme benötigt."

Die grundsätzlichen individuellen Parameterbeschreibungen findet man im Kontext-Menü der Online-Hilfe und im Manual.
Auf den bintec Routern soll im Beispiel von initial unkonfiguriertem L2TP ausgegangen werden (entspr. Auslieferungszustand).

Achtung:
Die nachfolgende Beschreibung gilt nur für den Fall, dass der Responder (die Zentrale) über eine feste "öffentliche" IP-Adresse erreichbar ist.

Vorgehensweise

Im vorliegenden Beispiel soll das LAN 192.168.0.0/24 eines RS353jw (Filiale) über einen L2TP-Tunnel mit dem LAN 192.168.10.0/24 eines
R1202 (Zentrale) verbunden werden. Die IP-Adresse "192.168.4.117" soll hierbei als "öffentliche" WAN-IP-Adresse des R1202 fungieren.

Die Konfiguration erfolgt in drei wesentlichen Schritten:

  1. L2TP-Tunnelprofil einrichten (in Zentrale und Filiale)
  2. L2TP-Tunnelbenutzer einrichten (in Zentrale und Filiale)
  3. Globale Optionen und NAT-Freigabe einrichten (nur Zentrale)

Einrichten des bintec R1202 als Responder (LNS)

L2TP-Tunnelprofil einrichten

Das Anlegen des L2TP-Tunnelprofils erfolgt im GUI Menü "VPN" unter "L2TP" auf dem Tab "Tunnelprofile" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des L2TP-Tunnelprofils:

L2TP-Tunnelprofil

Bild 1: GUI-Menü des bintec R1202 mit den Beispielwerten des neuen L2TP-Tunnelprofils

L2TP-Tunnelbenutzer einrichten

Das Anlegen des L2TP-Tunnelbenutzers erfolgt im GUI Menü "VPN" unter "L2TP" auf dem Tab "Benutzer" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des L2TP-Tunnelbenutzers:

L2TP-Tunnelbenutzer

Bild 2: GUI-Menü des bintec R1202 mit den Beispielwerten des neuen L2TP-Tunnelbenutzers

Achten Sie hier beim Responder insbesondere auch auf den korrekten Verbindungstyp "LNS".
Die "Lokale IP-Adresse" 192.168.10.117 ist im Beispiel die eigene LAN-IP-Adresse des bintec R1202 (Zentrale),
die "Entfernte IP-Adresse" 192.168.0.0/255.255.255.0 ist hier das LAN der Gegenstelle bintec RS353jw (Filiale).

Bezüglich der Erweiterten Einstellungen wird im vorliegenden Beispiel mit den Vorgabewerten gearbeitet, einschließlich
der Authentifizierung "MS-CHAPv2" und der Verschlüsselung "MPPEv2-128 Bit" nach RFC 3078 (Verschlüsselung = "Aktiviert").

Globale Optionen und NAT-Freigabe einrichten

Für die Zentrale als Responder (LNS) sind auch die "Globalen Optionen" im GUI Menü "VPN" unter "L2TP" auf dem Tab "Optionen" zu beachten.

Beispiel für das GUI-Menü mit den "Globalen Optionen" mit den Beispielwerten:

L2TP-"Globale Optionen"

Bild 3: GUI-Menü des bintec R1202 mit den Beispielwerten der "Globalen Optionen"

Außerdem ist bei aktiviertem NAT auf der WAN-Schnittstelle (hier en1-4) eine NAT-Freigabe für UDP Port 1701 einzurichten.
Das Anlegen der NAT-Freigabe erfolgt im GUI Menü "Netzwerk" unter "NAT" auf dem Tab "NAT-Konfiguration" mit Klick auf "NEU".

Beispiel für das GUI-Menü für die NAT-Freigabe für UDP Port 1701:

NAT-Freigabe UDP Port 1701

Bild 4: GUI-Menü des bintec R1202 mit der NAT-Freigabe für UDP Port 1701

Einrichten des bintec RS353jw als Initiator (LAC)

L2TP-Tunnelprofil einrichten

Das Anlegen des L2TP-Tunnelprofils erfolgt im GUI Menü "VPN" unter "L2TP" auf dem Tab "Tunnelprofile" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des L2TP-Tunnelprofils:

L2TP-Tunnelprofil

Bild 5: GUI-Menü des bintec RS353jw mit den Beispielwerten des neuen L2TP-Tunnelprofils

Hier dient die IP-Adresse "192.168.4.117" als "öffentliche" WAN-IP-Adresse der Gegenstelle bintec R1202 (Responder).

L2TP-Tunnelbenutzer einrichten

Das Anlegen des L2TP-Tunnelbenutzers erfolgt im GUI Menü "VPN" unter "L2TP" auf dem Tab "Benutzer" mit Klick auf "NEU".

Beispiel für das GUI-Menü mit Beispielwerten zur Konfiguration des L2TP-Tunnelbenutzers:

L2TP-Tunnelbenutzer

Bild 6: GUI-Menü des bintec RS353jw mit den Beispielwerten des neuen L2TP-Tunnelbenutzers

Achten Sie hier beim Initiator insbesondere auch auf den korrekten Verbindungstyp "LAC" und die Auswahl des Tunnelprofils.
Die "Lokale IP-Adresse" 192.168.0.115 ist im Beispiel die eigene LAN-IP-Adresse des bintec RS353jw (Filiale),
die "Entfernte IP-Adresse" 192.168.10.0/255.255.255.0 ist hier das LAN der Gegenstelle bintec R1202 (Zentrale).

Bezüglich der Erweiterten Einstellungen wird im vorliegenden Beispiel mit den Vorgabewerten gearbeitet, einschließlich
der Authentifizierung "MS-CHAPv2" und der Verschlüsselung "MPPEv2-128 Bit" nach RFC 3078 (Verschlüsselung = "Aktiviert").

Kontrolle der Funktion der konfigurierten L2TP-Verbindung

  • Eine gute Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Router-Konsole (Telnet, SSH oder seriell).

Beispielmeldungen auf der Konsole des Initiators bintec RS353jw beim erfolgreichen VPN-L2TP-Verbindungsaufbau zum bintec R1202:

rs353jw_ks:> debug all&
15:36:37 INFO/INET: dialup if 30010001 prot 1 192.168.0.20:2048->192.168.10.119:19762
15:36:37 DEBUG/PPP: PPP_over_L2TP_zur_Zentrale: event: "ifAdminStatus_dialup event",status: "initial / dormant" (dormant) -> "pending dialout" (dormant)
15:36:37 DEBUG/PPP: PPP_over_L2TP_zur_Zentrale: connect to <1>
15:36:37 INFO/PPP: L2TP SCCRQ (start control connection request) issued to 192.168.4.117:1701:47409
15:36:37 INFO/PPP: received L2TP SCCRP (start control connection reply) from 192.168.4.117:48084:47409
15:36:37 INFO/PPP: L2TP SCCCN (start control connection connected) issued to 192.168.4.117:48084:47409
15:36:37 INFO/PPP: L2TP ICRQ (incoming call request) issued to 192.168.4.117:48084:47409/6
15:36:37 INFO/PPP: received L2TP ICRP (incoming call reply) from 192.168.4.117:48084:47409/6
15:36:37 INFO/PPP: L2TP ICCN (incoming call connected) issued to 192.168.4.117:48084:47409/6
15:36:40 DEBUG/PPP: PPP_over_L2TP_zur_Zentrale: event: "associated link is operational up",status: "pending dialout" (dormant) -> "interface up" (up)
15:36:40 DEBUG/PPP: PPP_over_L2TP_zur_Zentrale: outgoing connection established
15:36:40 DEBUG/PPP: PPP_over_L2TP_zur_Zentrale: CCP MPPE negotiation successful (128 bit, stateless)
15:36:40 DEBUG/PPP: PPP_over_L2TP_zur_Zentrale: CCP RX uses MPPE SW encryption
15:36:40 DEBUG/PPP: PPP_over_L2TP_zur_Zentrale: CCP TX uses MPPE SW encryption

Beispielmeldungen auf der Konsole des Responders bintec R1202 bei erfolgreicher VPN-L2TP-Einwahl des bintec RS353jw:

r1202_ks:> debug all&
07:54:10 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 192.168.4.117:1701/192.168.4.117:1701 <- 192.168.4.115:56169
07:54:10 INFO/PPP: L2TP SCCRQ (start control connection request) from 192.168.4.115:56169:2616 accepted
07:54:10 INFO/PPP: L2TP SCCRP (start control connection reply) issued to 192.168.4.115:56169:2616
07:54:10 DEBUG/INET: NAT: new outgoing session on ifc 1400 prot 17 192.168.4.117:14759/192.168.4.117:48084 -> 192.168.4.115:56169
07:54:10 INFO/PPP: L2TP SCCCN (tunnel establishment confirm) from 192.168.4.115:56169:2616 accepted
07:54:10 DEBUG/PPP: dialin from <192.168.4.115> to local number <192.168.4.117> (7/0)
07:54:10 DEBUG/PPP: ?: event: "snychronize ifOperStatus with config",status: "initial / dormant" (illegal) -> "initial / dormant" (dormant)
07:54:10 DEBUG/PPP: ?: call accepted, call not identified by number
07:54:10 INFO/PPP: L2TP ICRQ (incoming call request) from 192.168.4.115:56169:2616/6 accepted
07:54:10 INFO/PPP: L2TP ICRP (incoming call reply) issued to 192.168.4.115:56169:2616/6
07:54:10 INFO/PPP: received L2TP ICCN (incoming call connected) from 192.168.4.115:56169:2616/6
07:54:10 ERR/PPP: l2tp_prot_process_data_pkt(), p_params->p_session->p_client_data is NULL
07:54:13 DEBUG/PPP: 10001 authenticated via MS_CHAPV2
07:54:13 DEBUG/PPP: PPP_over_L2TP_von_Zentrale: call identified via CHAP 
07:54:13 DEBUG/PPP: PPP_over_L2TP_von_Zentrale: event: "identified dialin event",status: "initial / dormant" (dormant) -> "pending dialin" (dormant)
07:54:13 DEBUG/PPP: PPP_over_L2TP_von_Zentrale: event: "associated link is operational up",status: "pending dialin" (dormant) -> "interface up" (up)
07:54:13 DEBUG/PPP: PPP_over_L2TP_von_Zentrale: incoming connection established
07:54:13 DEBUG/PPP: PPP_over_L2TP_von_Zentrale: CCP MPPE negotiation successful (128 bit, stateless)
07:54:13 DEBUG/PPP: PPP_over_L2TP_von_Zentrale: CCP RX uses MPPE HW encryption
07:54:13 DEBUG/PPP: PPP_over_L2TP_von_Zentrale: CCP TX uses MPPE HW encryption

Anschließend noch testweises Pingen vom PC im LAN des RS353jw (Filiale) durch den VPN-Tunnel zu einem Host im LAN des R1202 (Zentrale):

D:\>ping -n 3 192.168.10.119
Ping wird ausgeführt für 192.168.10.119 mit 32 Bytes Date
Antwort von 192.168.10.119: Bytes=32 Zeit=1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit=1ms TTL=61
Antwort von 192.168.10.119: Bytes=32 Zeit=1ms TTL=61
Ping-Statistik für 192.168.10.119:
    Pakete: Gesendet = 3, Empfangen = 3, Verloren = 0 (0% Verlust),

Abschlußbemerkung

  • Denken Sie bitte daran sich gegebenenfalls auch um eine ordungsgemäße DNS-Namensauflösung zu kümmern.
  • Vergessen Sie nicht Ihre gewünschten Einstellungen bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.

Basis

Erstellt: 27.11.2017
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27
KW: 02/2018
kst