Hauptmenü öffnen

Änderungen

bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten

9 Byte hinzugefügt, 14:10, 19. Jan. 2018
keine Bearbeitungszusammenfassung
===Vorgehensweise===
 
Im vorliegenden Beispiel soll das LAN "192.168.17.0/24" eines bintec RS353jw in der Filiale durch einen IPSec-Tunnel (IKEv1) <br />
unter Verwendung von Zertifikaten mit dem LAN "192.168.0.0/24" eines bintec R1202 in der Zentrale verbunden werden. <br />
====Schritt 1: Anlegen der Phase-1-Profile in Filiale und Zentrale====
 
=====Phase-1-Profil einrichten im bintec RS353jw in der Filiale=====
 
Das Anlegen des Phase-1-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
=====Phase-1-Profil einrichten im bintec R1202 in der Zentrale=====
 
Das Anlegen des Phase-1-Profile erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
====Schritt 2: Anlegen der Phase-2-Profile in Filiale und Zentrale====
 
=====Phase-2-Profil einrichten im bintec RS353jw in der Filiale=====
 
Das Anlegen des Phase-2-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU".
=====Phase-2-Profil einrichten im bintec R1202 in der Zentrale=====
 
Das Anlegen des Phase-2-Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU".
====Schritt 3: Konfiguration der IPSec-Peers in Filiale und Zentrale====
 
=====IPSec-Peer einrichten im bintec RS353jw in der Filiale=====
 
Das Anlegen des IPSec-Tunnels erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
=====IPSec-Peer einrichten im bintec R1202 in der Zentrale=====
 
Das Anlegen des IPSec-Tunnels erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
Beispielmeldungen auf der Konsole des Initiators bintec RS353jw der Filiale beim erfolgreichen VPN-Verbindungsaufbau zum bintec R1202 der Zentrale:
<pre>rs353jw_ks:> debug all&
13:06:16 INFO/INET: dialup if 38100001 prot 1 192.168.17.100:2048->192.168.0.100:29066
13:06:16 DEBUG/INET: NAT: new outgoing session on ifc 1040000 prot 17 212.0.0.2:500/212.0.0.2:816 -> 212.0.0.1:500
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-Einwahl des bintec RS353jw der Filiale:
<pre>r1202_ks:> debug all&
13:05:40 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:816
13:05:40 DEBUG/IPSEC: P1: peer 0 () sa 1 (R): new ip 212.0.0.1 <- ip 212.0.0.2
Abschließend noch testweises Ping vom Host im LAN des RS353jw der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:
<pre>rs232bw_ks:> ping -c 3 -d 2000 192.168.0.20
PING 192.168.0.20: 64 data bytes
64 bytes from 192.168.0.20: icmp_seq=0. time=1.943 ms
===Abschlußbemerkung===
 
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis===
 
Erstellt: 18.+19.1.2018 <br />
Produkt: bintec Router-Serien und be.IP-Serie <br />
Klaus Stavemann
910
Bearbeitungen
Abgerufen von „http://faq.bintec-elmeg.com/index.php?title=Spezial:Mobiler_Unterschied/2755