bintec Router-Serien und be.IP-Serie - Hinweise zum Einrichten einer VPN-Verbindung LAN-zu-LAN mit IPSec IKEv2
Aus bintec elmeg Support-Wiki / FAQ
bintec Router-Serien und be.IP-Serie - Hinweise zum Einrichten einer VPN-Verbindung LAN-zu-LAN mit IPSec IKEv2
Inhaltsverzeichnis
Vorbemerkungen
- Über einen IPSec-VPN-Tunnel mit IKEv2 sollen zwei örtlich getrennt liegende LANs routingtechnisch miteinander verbunden werden ("LAN-zu-LAN"/"lan2lan").
- Im Beispiel werden ein bintec RS353jw und ein bintec elmeg be.IP plus verwendet, beide mit Software-Version 10.1.27. Die Konfiguration erfolgt mittels GUI.
- Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
- Exportieren Sie Ihre aktiven Konfigurationen in externe Dateien, bevor Sie mit Änderungen an den Konfigurationen beginnen.
Die Konfiguration der IPSec-Verbindungen erfolgt im GUI Menü "VPN" unter "IPSec" auf der Menükartenseite "IPSec-Peers".
Die grundsätzlichen individuellen Parameterbeschreibungen findet man im Kontext-Menü der Online-Hilfe und im Manual.
Auf beiden Geräten soll von initial unkonfiguriertem IPSec ausgegangen werden (entspr. Auslieferungszustand).
Vorgehensweise
Im vorliegenden Beispiel soll das LAN 10.10.10.0/24 des be.IP plus mit dem LAN 11.11.11.0/24 des RS353jw über einen IPSec-Tunnel mit IKEv2 verbunden werden.
Die beiden IP-Adressen 192.168.4.115 und 192.168.4.110 sollen hierbei als "öffentliche" WAN-IP-Adressen fungieren.
Konfiguration des IPSec-Peers mit IKEv2 in der be.IP plus
Das Anlegen des IPSec-Peers mit IKEv2 erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
Beispiel für das GUI-Menü der be.IP plus mit Beispielwerten zur Konfiguration des IPSec-Peers mit IKEv2:
Bild 1: GUI-Menü der be.IP plus mit der Konfiguration des IPSec-Peers mit IKEv2
Mit dem Klick auf "OK" werden die Profile Phase1 IKEv2 "Multiproposal" und Phase2 "Multi-Proposal" automatisch generiert, aber dem IPSec-Peer noch nicht explizit zugewiesen.
Beispiel mit be.IP plus im GUI-Menü des IPSec-Peers unter Erweiterte Einstellungen für die Zuweisung der Phase1- und Phase2-Profile:
Bild 2: IPSec-Peer-Menü der be.IP plus mit der Zuweisung der Phase1- und Phase2-Profile
Konfiguration des IPSec-Peers mit IKEv2 im bintec RS353jw
Das Anlegen des IPSec-Peers mit IKEv2 erfolgt im GUI Menü "VPN" unter "IPSec" auf dem Tab "IPSec-Peers" mit Klick auf "NEU".
Beispiel für das GUI-Menü des bintec RS353jw mit Beispielwerten zur Konfiguration des IPSec-Peers mit IKEv2:
Bild 3: GUI-Menü des bintec RS353jw mit der Konfiguration des IPSec-Peers mit IKEv2
Mit dem Klick auf "OK" werden die Profile Phase1 IKEv2 "Multiproposal" und Phase2 "Multi-Proposal" automatisch generiert, aber dem IPSec-Peer noch nicht explizit zugewiesen.
Beispiel mit bintec RS353jw im GUI-Menü des IPSec-Peers unter Erweiterte Einstellungen für die Zuweisung der Phase1- und Phase2-Profile:
Bild 4: IPSec-Peer-Menü des bintec RS353jw mit der Zuweisung der Phase1- und Phase2-Profile
Kontrolle des Verbindungsaufbaus der IPSec-VPN-Verbindung mit IKEv2
- Eine Kontrolle des Verbindungsaufbaus kann am Prompt der Router-Konsole (Telnet, SSH oder seriell) mit dem Kommando "debug all&" erfolgen.
Beispielausgaben auf der Konsole des Initiators be.IP plus mit Ping durch den IPSec-VPN-Tunnel zur Gegenstelle RS353jw:
be.ip_plus_ks:> debug all& be.ip_plus_ks:> ping -c3 -d2000 11.11.11.115& be.ip_plus_ks:> PING 11.11.11.115: 64 data bytes 11:16:17 INFO/INET: dialup if 38100001 prot 1 10.10.10.110:2048->11.11.11.115:35124 11:16:17 INFO/IPSEC: Trigger Bundle -2 (Peer 1 Traffic 0) prot 1 10.10.10.110:2048->11.11.11.115:35124 11:16:17 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) traf 0 bundle -2 (I): created 10.10.10.0/24:0 < any > 11.11.11.0/24:0 rekeyed 0 11:16:18 DEBUG/INET: NAT: new outgoing session on ifc 1040000 prot 17 192.168.4.110:500/192.168.4.110:602 -> 192.168.4.115:500 11:16:18 DEBUG/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (I): identified ip 192.168.4.110 -> ip 192.168.4.115 11:16:18 DEBUG/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (I): [IkeSaInit] port change: local: 192.168.4.110:500->192.168.4.110:4500, remote: 192.168.4.115:500->192.168.4.115:4500 11:16:18 DEBUG/INET: NAT: new outgoing session on ifc 1040000 prot 17 192.168.4.110:4500/192.168.4.110:55405 -> 192.168.4.115:4500 11:16:18 INFO/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (I): done id fqdn([0..3]=test) -> id fqdn([0..3]=test) [3838cc80 a5f07305 : 4507fbe0 f514820b] 11:16:18 INFO/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (I): peer supports MOBIKE 11:16:18 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) bundle -2 (I): SA 3 established ESP[655475b0] out[0] Mode tunnel enc aes-cbc (128 bit) auth sha2-256 (256 bit) 11:16:18 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) bundle -2 (I): SA 4 established ESP[e9d9dbef] in[0] Mode tunnel enc aes-cbc (128 bit) auth sha2-256 (256 bit) 11:16:18 INFO/IPSEC: Activate Bundle -2 (Peer 1 Traffic -1) 11:16:18 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) traf 0 bundle -2 (I): established (192.168.4.110<->192.168.4.115) with 2 SAs life 7200 Sec/0 Kb rekey 5760 Sec/0 Kb Hb none PMTU 64 bytes from 11.11.11.115: icmp_seq=0. time=909.608 ms 64 bytes from 11.11.11.115: icmp_seq=1. time=0.979 ms 64 bytes from 11.11.11.115: icmp_seq=2. time=0.958 ms ----11.11.11.115 PING Statistics---- 3 packets transmitted, 3 packets received, 0% packet loss round-trip (ms) min/avg/max = 0.958/303.848/909.608 be.ip_plus_ks:>
Gleichzeitige Ausgaben auf der Konsole des Responders RS353jw:
rs353jw_ks:> debug all& 11:16:23 DEBUG/INET: NAT: new incoming session on ifc 1040000 prot 17 192.168.4.115:500/192.168.4.115:500 <- 192.168.4.110:602 11:16:23 DEBUG/IPSEC: IKE_SA: peer 0 () sa 2 (R): new ip 192.168.4.115 <- ip 192.168.4.110 11:16:24 DEBUG/INET: NAT: new incoming session on ifc 1040000 prot 17 192.168.4.115:4500/192.168.4.115:4500 <- 192.168.4.110:55405 11:16:24 DEBUG/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (R): identified ip 192.168.4.115 <- ip 192.168.4.110 11:16:24 DEBUG/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (R): [IkeSaInit] port change: local: 192.168.4.115:500->192.168.4.115:4500, remote: 192.168.4.110:602->192.168.4.110:55405 11:16:24 INFO/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (R): done id fqdn([0..3]=test) <- id fqdn([0..3]=test) [3838cc80 a5f07305 : 4507fbe0 f514820b] 11:16:24 INFO/IPSEC: IKE_SA: peer 1 (Tunnel1(IKEv2)) sa 2 (R): peer supports MOBIKE 11:16:24 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) traf 0 bundle 2 (R): created 11.11.11.0/24:0 < any > 10.10.10.0/24:0 rekeyed 0 11:16:24 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) bundle 2 (R): SA 3 established ESP[655475b0] in[0] Mode tunnel enc aes-cbc (128 bit) auth sha2-256 (256 bit) 11:16:24 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) bundle 2 (R): SA 4 established ESP[e9d9dbef] out[0] Mode tunnel enc aes-cbc (128 bit) auth sha2-256 (256 bit) 11:16:24 INFO/IPSEC: Activate Bundle 2 (Peer 1 Traffic -1) 11:16:24 INFO/IPSEC: CHILD_SA: peer 1 (Tunnel1(IKEv2)) traf 0 bundle 2 (R): established (192.168.4.115<->192.168.4.110) with 2 SAs life 7200 Sec/0 Kb rekey 6480 Sec/0 Kb Hb none PMTU rs353jw_ks:>
Abschlußbemerkung
Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßg in externe Dateien zu exportieren.
Basis
Erstellt: 1.9.017
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.1.27
KW: 40/2017
kst