910
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
'''<big>bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten</big>'''<!-- __NOTOC__= no table of content -->__NOEDITSECTION__
===Vorbemerkungen===
* Durch einen VPN-Tunnel sollen zwei örtlich getrennt liegende LANs mittels IPSec (IKEv1) unter Verwendung von Zertifikaten routingtechnisch miteinander verbunden werden.
die IP-Adresse "212.0.0.2" als "öffentliche" WAN-IP-Adresse des bintec RS353jw in der Filiale. <br />
Die notwendigen Schlüssel ("Public Keys") und Zertifikate (Zertifikat der Zertifizierungsstelle (CA) und Benutzerzertifikat) <br />
seien bereits ordungsgemäß in beide bintec Geräte importiert - bequemerweise mit dem im Format "PKCS#12 Kette".
Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten:
# Anlegen der Phase-1-Profile in Filiale und Zentrale
# Anlegen der Phase-2-Profile in Filiale und Zentrale
===Kontrolle der Funktion des neu konfigurierten VPN-Tunnels===
* Eine gute Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Router-Konsole (Telnet, SSH oder seriell).
Beispielmeldungen auf der Konsole des Initiators bintec RS353jw der Filiale beim erfolgreichen VPN-Verbindungsaufbau zum bintec R1202 der Zentrale:
<pre>rs353jw_ks:> debug all&
13:06:16 INFO/INET: dialup if 38100001 prot 1 192.168.17.100:2048->192.168.0.100:29066
13:06:16 DEBUG/INET: NAT: new outgoing session on ifc 1040000 prot 17 212.0.0.2:500/212.0.0.2:816 -> 212.0.0.1:500
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-Einwahl des bintec RS353jw der Filiale:
<pre>r1202_ks:> debug all&
13:05:40 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:816
13:05:40 DEBUG/IPSEC: P1: peer 0 () sa 1 (R): new ip 212.0.0.1 <- ip 212.0.0.2
13:05:40 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): identified ip 212.0.0.1 <- ip 212.0.0.2
13:05:41 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:4500/212.0.0.1:4500 <- 212.0.0.2:47608
13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [76702854 bd1b45a7 : 1bf073b9 b7d28a6a]13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): [IP] NAT-T: port change: local: 212.0.0.1:500->212.0.0.1:4500, remote: 212.0.0.2:816->212.0.0.2:47608
13:05:41 INFO/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a]
13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): created 192.168.0.0/24:0 < any > 192.168.17.0/24:0 rekeyed 0
Abschließend noch testweises Ping vom Host im LAN des RS353jw der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:
<pre>rs232bw_ks:> ping -c 3 -d 2000 192.168.0.20
PING 192.168.0.20: 64 data bytes
64 bytes from 192.168.0.20: icmp_seq=0. time=1.943 ms