Hauptmenü öffnen

Änderungen

bintec Router-Serien und be.IP-Serie - Beispiel für die Konfiguration einer IPSec-Verbindung (IKEv1) von einer FRITZ!Box zu einem bintec Router

481 Byte hinzugefügt, 10:59, 29. Mai 2018
keine Bearbeitungszusammenfassung
Bild 2: Konfigurationsmenü der FRITZ!Box 7490 in der Außenstelle mit den Beispielwerten der VPN-Verbindung
Aus Sicherheitsgründen sollte der "Preshared Key" möglichst lang bzw. kompliziert sein. Zum Abschluß Klick auf "OK".
Anschließend wird die neu erstellte VPN-Verbindung im VPN-Menü der FRITZ!Box 7490 aufgelistet:
Bild 5: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des Phase-1-Profils "FRITZ!Box"
Im vorliegenden Beispiel konnte mit dem Proposal "AES-256/SHA1/DH-Gruppe 2(1024Bit)" erfolgreich gearbeitet werden. <br />
Unter "Erweiterte Einstellungen" ist bei Erreichbarkeitsprüfung die "Dead Peer Detection (Idle)" auszuwählen.
Bild 6: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des Phase-2-Profils "FRITZ!Box"
Im vorliegenden Beispiel konnte mit dem Proposal "AES-256/SHA1/PFS-Gruppe deaktiviert" erfolgreich gearbeitet werden. <br />Unter "Erweiterte Einstellungen" ist diesmal bei hier die Erreichbarkeitsprüfung das "Inaktiv" auszuwählen.
====Schritt 3: Konfiguration des IPSec-Peers im bintec R1202 in der Zentrale====
Bild 7: GUI-Menü des bintec R1202 in der Zentrale mit den Beispielwerten des IPSec-Peers "FRITZ!Box"
'''Achtung:''' <br />Bei "Peer-ID" ist hier der Typ "Schlüssel-ID" (="Key-ID") zu verwenden.  Aus Sicherheitsgründen kommt es hier auf die exaktenSchreibweisen von "ID" und "Preshared Key" (PSK" ) an, wobei der "Preshared Key" ganz besonders sicherheitsrelevant ist und möglichst langbzw. kompliziert eingegeben werden sollte. Diese Werte müssen natürlich auch in der FRITZ!Box geeignet hinterlegt sein.
Die "Lokale IP-Adresse" ist im Beispiel die eigene LAN-IP-Adresse "192.168.0.117" des bintec R1202 in der Zentrale.
'''Zu den Erweiterte Erweiterten Einstellungenund Proxy-ARP:''' <br />
Hier sind die beiden neu angelegten Profile für Phase-1 ("FRITZ!Box") und für Phase-2 ("FRITZ!Box") auszuwählen.
Außerdem ist noch Proxy-ARP zu aktivieren, da im Beispiel die IP-Pool-Adresse im Bereich des LAN-IP-Subnetzes des
bintec R1202 in der Zentrale liegt. Deshalb ist im Beispielfall auch am LAN-Interface des bintec R1202 das Proxy-ARP zu aktivieren.
===Kontrolle der Funktion des neu konfigurierten VPN-Tunnels===
Bei erfolgreicher Aktivierung Anzeige der VPN-Verbindung meldet die FRITZ!Box im Menü "System" unter "Ereignisse" erfolgreich (mit Beipielwertendurch Nutztraffic): "28.05.18 16:16:09 VPN-Verbindung zu 212.0.0.1 wurde erfolgreich hergestellt." Anzeige der aktiven aktivierten VPN-Verbindung im VPN-Menü der FRITZ!Box 7490 in der Außenstelle:
[[Bild:IPSec_IKEv1_Fritzbox_LAN_to_LAN08.png|none|FRITZ!Box: aktive VPN-Verbindung]]
Bild 8: VPN-Menü der FRITZ!Box 7490 in der Außenstelle mit der aktiven VPN-Verbindung
* Eine detaillierte Kontrolle des Verbindungsaufbaus ermöglicht das Kommando Bei erfolgreicher Aktivierung der VPN-Verbindung meldet die FRITZ!Box außerdem im Menü "System" unter "debug all&Ereignisse" auf der Konsole (Telnet, SSH oder seriellmit den Werten des Beipiels) des bintec R1202 in der Zentrale: <br />"28.05.18 16:16:09 VPN-Verbindung zu 212.0.0.1 wurde erfolgreich hergestellt."
Eine detaillierte Kontrolle des Verbindungsaufbaus ermöglicht das Kommando "debug all&" auf der Konsole (Telnet, SSH oder seriell) des bintec R1202 in der Zentrale. <br />
Beispielmeldungen auf der Konsole des Responders bintec R1202 der Zentrale bei erfolgreicher VPN-IPSec-Einwahl durch den Initiator FRITZ!Box der Filiale:
===Basis===
Erstellt: 28.+29.5.2018 <br />
Produkt: bintec Router-Serien und be.IP-Serie <br />
Release: 10.2.2 Patch 2 <br />
Klaus Stavemann
910
Bearbeitungen
Abgerufen von „http://faq.bintec-elmeg.com/index.php?title=Spezial:Mobiler_Unterschied/3025