910
Bearbeitungen
Änderungen
keine Bearbeitungszusammenfassung
'''<big>bintec Router-Serien und be.IP-Serie - Beispiel für das Prinzip einer VPN-Verbindung LAN-zu-LAN mit IPSec (IKEv1) und Zertifikaten</big>'''__NOEDITSECTION__
===Vorbemerkungen===
* Durch einen VPN-Tunnel sollen zwei örtlich getrennt liegende LANs mittels IPSec (IKEv1) unter Verwendung von Zertifikaten routingtechnisch miteinander verbunden werden.
===Vorgehensweise===
Im vorliegenden Beispiel soll das LAN "192.168.17.0/24" eines bintec RS353jw in der Filiale durch einen IPSec-Tunnel (IKEv1) <br />
unter Verwendung von Zertifikaten mit dem LAN "192.168.0.0/24" eines bintec R1202 in der Zentrale verbunden werden. <br />
Die Konfiguration im Beispiel erfolgt nun in drei wesentlichen Schritten:
# Anlegen der Phase-1-Profile in Filiale und Zentrale
# Anlegen der Phase-2-Profile in Filiale und Zentrale
====Schritt 1: Anlegen der Phase-1-Profile in Filiale und Zentrale====
=====Phase-1-Profil einrichten im bintec RS353jw in der Filiale=====
Das Anlegen des Phase-1-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
=====Phase-1-Profil einrichten im bintec R1202 in der Zentrale=====
Das Anlegen des Phase-1-Profile Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-1-Profile" mit Klick auf "Neues IKEv1-Profil erstellen".
Beispiel für das GUI-Menü des bintec R1202 in der Zentrale mit Beispielwerten zur Konfiguration des Phase-1-Profils:
====Schritt 2: Anlegen der Phase-2-Profile in Filiale und Zentrale====
=====Phase-2-Profil einrichten im bintec RS353jw in der Filiale=====
Das Anlegen des Phase-2-Profils erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU".
=====Phase-2-Profil einrichten im bintec R1202 in der Zentrale=====
Das Anlegen des Phase-2-Profils erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "Phase-2-Profile" mit Klick auf "NEU".
====Schritt 3: Konfiguration der IPSec-Peers in Filiale und Zentrale====
=====IPSec-Peer einrichten im bintec RS353jw in der Filiale=====
Das Anlegen des IPSec-Tunnels erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
=====IPSec-Peer einrichten im bintec R1202 in der Zentrale=====
Das Anlegen des IPSec-Tunnels erfolgt wieder im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
===Kontrolle der Funktion des neu konfigurierten VPN-Tunnels===
* Eine gute Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Router-Konsole (Telnet, SSH oder seriell).
Beispielmeldungen auf der Konsole des Initiators bintec RS353jw der Filiale beim erfolgreichen VPN-Verbindungsaufbau zum bintec R1202 der Zentrale:
<pre>rs353jw_ks:> debug all&
13:06:16 INFO/INET: dialup if 38100001 prot 1 192.168.17.100:2048->192.168.0.100:29066
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-Einwahl des bintec RS353jw der Filiale:
<pre>r1202_ks:> debug all&
13:05:40 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:500/212.0.0.1:500 <- 212.0.0.2:816
13:05:40 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): identified ip 212.0.0.1 <- ip 212.0.0.2
13:05:41 DEBUG/INET: NAT: new incoming session on ifc 1400 prot 17 212.0.0.1:4500/212.0.0.1:4500 <- 212.0.0.2:47608
13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): notify id No Id <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale): Initial contact notification proto 1 spi(16) = [76702854 bd1b45a7 : 1bf073b9 b7d28a6a]13:05:41 DEBUG/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): [IP] NAT-T: port change: local: 212.0.0.1:500->212.0.0.1:4500, remote: 212.0.0.2:816->212.0.0.2:47608
13:05:41 INFO/IPSEC: P1: peer 1 (Filiale mit Zertifikat) sa 1 (R): done id der_asn1_dn(any:0,[0..24]=CN=faq-zentrale) <- id der_asn1_dn(any:0,[0..23]=CN=faq-filiale) IP[76702854 bd1b45a7 : 1bf073b9 b7d28a6a]
13:05:41 INFO/IPSEC: P2: peer 1 (Filiale mit Zertifikat) traf 0 bundle 1 (R): created 192.168.0.0/24:0 < any > 192.168.17.0/24:0 rekeyed 0
Abschließend noch testweises Ping vom Host im LAN des RS353jw der Filiale durch den VPN-Tunnel zu einem Host im LAN des R1202 in der Zentrale:
<pre>rs232bw_ks:> ping -c 3 -d 2000 192.168.0.20
PING 192.168.0.20: 64 data bytes
===Abschlußbemerkung===
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
===Basis===
Erstellt: 18.+19.1.2018 <br />
Produkt: bintec Router-Serien und be.IP-Serie <br />