910
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
'''<big>bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten</big>'''__NOEDITSECTION__
===Vorbemerkungen===
* Durch einen VPN-Tunnel sollen zwei örtlich getrennt liegende LANs mittels IPSec (IKEv1) unter Verwendung von Zertifikaten routingtechnisch miteinander verbunden werden.
* Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
* Die Konfiguration der IPSec-Verbindung erfolgt generell mittels GUI, im Wesentlichen aber im GUI Menü "VPN" unter "IPSec".
* Die inividuellen individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
* Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.
Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten:
# Anlegen der Phase-1-Profile in Filiale und Zentrale
# Anlegen der Phase-2-Profile in Filiale und Zentrale
=====Phase-1-Profil einrichten im bintec R1202 in der Zentrale=====
Das Anlegen des Phase-1-Profile Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-1-Profils:
Die Peer-Adresse ist im Beispiel die "öffentliche" WAN-IP-Adresse "212.0.0.2" der Gegenstelle RS353jw in der Filiale,
die "Lokale IP-Adresse" ist im Beispiel die eigene LAN-IP-Adresse "192.168.0.100" des bintec R1202 in der Zentrale,
die "Entfernte IP-Adresse" ist im Beispiel das LAN "192.168.017.0/24" der Gegenstelle bintec RS353jw in der Filiale.
Hinweis:
===Kontrolle der Funktion des neu konfigurierten VPN-Tunnels===
* Eine gute Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Router-Konsole (Telnet, SSH oder seriell).
Beispielmeldungen auf der Konsole des Initiators bintec RS353jw der Filiale beim erfolgreichen VPN-Verbindungsaufbau zum bintec R1202 der Zentrale:
<pre>rs353jw_ks:> debug all&
13:06:16 INFO/INET: dialup if 38100001 prot 1 192.168.17.100:2048->192.168.0.100:29066
13:06:16 DEBUG/INET: NAT: new outgoing session on ifc 1040000 prot 17 212.0.0.2:500/212.0.0.2:816 -> 212.0.0.1:500
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-Einwahl des bintec RS353jw der Filiale:
<pre>r1202_ks:> debug all&
13:05:40 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:816
13:05:40 DEBUG/IPSEC: P1: peer 0 () sa 1 (R): new ip 212.0.0.1 <- ip 212.0.0.2
13:05:40 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): identified ip 212.0.0.1 <- ip 212.0.0.2
13:05:41 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:4500/212.0.0.1:4500 <- 212.0.0.2:47608
13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [76702854 bd1b45a7 : 1bf073b9 b7d28a6a]13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): [IP] NAT-T: port change: local: 212.0.0.1:500->212.0.0.1:4500, remote: 212.0.0.2:816->212.0.0.2:47608
13:05:41 INFO/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a]
13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): created 192.168.0.0/24:0 < any > 192.168.17.0/24:0 rekeyed 0
Abschließend noch testweises Ping vom Host im LAN des RS353jw der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:
<pre>rs232bw_ks:> ping -c 3 -d 2000 192.168.0.20
PING 192.168.0.20: 64 data bytes
64 bytes from 192.168.0.20: icmp_seq=0. time=1.943 ms