910
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
'''<big>bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten</big>'''<!-- __NOTOC__= no table of content -->__NOEDITSECTION__
===Vorbemerkungen===
* Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
* Die Konfiguration der IPSec-Verbindung erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec".
* Die inividuellen individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
die IP-Adresse "212.0.0.2" als "öffentliche" WAN-IP-Adresse des bintec RS353jw in der Filiale. <br />
Die notwendigen Schlüssel ("Public Keys") und Zertifikate (Zertifikat der Zertifizierungsstelle (CA) und Benutzerzertifikat) <br />
seien bereits ordungsgemäß in beide bintec Geräte importiert - bequemerweise mit dem im Format "PKCS#12 Kette".
Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten:
=====Phase-1-Profil einrichten im bintec R1202 in der Zentrale=====
Das Anlegen des Phase-1-Profile Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-1-Profils:
Die Peer-Adresse ist im Beispiel die "öffentliche" WAN-IP-Adresse "212.0.0.2" der Gegenstelle RS353jw in der Filiale,
die "Lokale IP-Adresse" ist im Beispiel die eigene LAN-IP-Adresse "192.168.0.100" des bintec R1202 in der Zentrale,
die "Entfernte IP-Adresse" ist im Beispiel das LAN "192.168.017.0/24" der Gegenstelle bintec RS353jw in der Filiale.
Hinweis:
13:05:40 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): identified ip 212.0.0.1 <- ip 212.0.0.2
13:05:41 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:4500/212.0.0.1:4500 <- 212.0.0.2:47608
13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [76702854 bd1b45a7 : 1bf073b9 b7d28a6a]13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): [IP] NAT-T: port change: local: 212.0.0.1:500->212.0.0.1:4500, remote: 212.0.0.2:816->212.0.0.2:47608
13:05:41 INFO/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a]
13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): created 192.168.0.0/24:0 < any > 192.168.17.0/24:0 rekeyed 0