Hauptmenü öffnen

Änderungen

bintec Secure IPSec Client - Beispiel für die Konfiguration des bintec Secure IPSec Clients für eine IPSec Verbindung mit IKEv1 und Preshared Key (PSK)

113 Byte hinzugefügt, 16:49, 7. Feb. 2018
keine Bearbeitungszusammenfassung
'''<big>bintec Secure IPSec Client - Beispiel für die Konfiguration des bintec Secure IPSec Clients für eine IPSec Verbindung mit IKEv1 und Preshared Key (PSK)</big>'''__NOEDITSECTION__
===Vorbemerkungen===
* Das Beispiel verwendet einen bintec Secure IPSec Client 64 Bit, Version 3.11, Build 32792 unter einem 64 Bit Betriebssystem Microsoft Windows 7.
* Ausführliche Beschreibungen zu sämtlichen Konfigurationsparametern bietet das integrierte "Hilfe"-Menü des bintec Secure IPSec Clients.
 
'''Achtung:''' Die IPSec-Gegenstelle muß natürlich genau passend eingerichtet sein für die Einwahl des bintec Secure IPSec Clients.
===Vorgehensweise===
Im vorliegenden Beispiel soll sich der IPSec-Client über einen IPSec-Tunnel mit IKEv1 und Preshared Key (PSK) mit dem LAN "11.11.11.0/24" eines RS353jw verbinden.
Die IP-Adresse "192.168.4.115" soll hierbei als "öffentliche" WAN-IP-Adresse der IPSec-Gegenstelle (z.B. bintec RS353jwoder be.IP plus) fungieren.
Die Konfiguration des bintec Secure IPSec Clients erfolgt in zwei wesentlichen Schritten:
Bild 9: Auswahl der "IP-Adressen-Zuweisung"
Für die "IP-Adressen-Zuweisung" wird wurde hier "IKE Config Mode verwenden" ausgewählt.
Weiter geht es mit Klick auf "Weiter >".
[[Bild:IPSec_Client_IKEv1_11.png|none|Menü "Profile" mit Profil "RS353jw_IPSec/IKEv1"]]
Bild 11: Menü "Profile" mit neuem Profil "RS353jw_IPSec/IKEv1"
 
 
====Schritt 2: Bearbeiten des neuen Profils mit Erstellung neuer IKE- und IPsec-Richtlinien====
Bild 13: Menü "Split Tunneling"
Weiter geht es mit Klick auf "Hinzufügen". <br />Im Beispiel soll über den VPN-Tunnel (nur) das LAN "11.11.11.0/24" der VPN-Gegenstelle (z.B. bintec RS353jw) zugänglich sein.
Beispiel für die Eingabe "IP-Netze":
[[Bild:IPSec_Client_IKEv1_14.png|none|Eingabe "IP-Netze"]]
Bild 14: Eingabe "IP-Netze"
 
Im Beispiel soll über den VPN-Tunnel (nur) das LAN "11.11.11.0/24" der VPN-Gegenstelle (z.B. bintec RS353jw) zugänglich sein.
Weiter geht es mit Klick auf "OK".
Bild 16: Menü "IPsec-Einstellungen"
Im Beispiel wurde hier für die "IKE DH-Gruppe" bewußt die Einstellung "DH5 (modp1536)" gewählt. <br /> 
Weiter geht es mit Klick auf "Editor ...". Es wird das Menü "IPsec Konfiguration" angezeigt.
Bild 17: Menü "IPsec Konfiguration"
Standardmäßig vorhanden sind die IKE-Richtlinie "Pre-shared Key" mit den Parametern PSK/AES128/SHA und die <br />IPsec-Richtlinie "ESP-AES128-MD5" mit den Parametern ESP/AES128/MD5. Da im vorliegenden Beispiel andere <br />Da im vorliegenden Beispiel andere Verschlüsselungsparameter verwendet werden sollen, werden hier neue Richtlinien erstellt.
Weiter geht es nach Anwahl von "IKE-Richtline" mit Klick auf "Hinzufügen".
Bild 18: Menü "IKE-Richtlinie" mit Beispielwerten der neuen IKE-Richtlinie "PSK-AES256-SHA2(256)"
Weiter geht es mit Klick auf "OK" und Anwahl von "IPsec-Richtlinie".
Beispiel für das Menü "IPsec Konfiguration" mit der neuen IKE Richtlinie "PSK-AES256-SHA2(256)":
Bild 19: Menü "IPsec Konfiguration" mit neuer IKE Richtlinie "PSK-AES256-SHA2(256)"
Weiter geht es bei angewähltem Punkt nach Anwahl von "IPsec-Richtlinie" mit Klick auf "Hinzufügen".
Beispiel für das Menü "IPsec-Richtlinie" zur Erstellung einer neuen IPsec-Richtlinie namens "ESP-AES256-SHA2(256)" mit Beispielwerten:
[[Bild:IPSec_Client_IKEv1_20.png|none|Menü "IPsec-Richtlinie " mit Beispielwerten"]]
Bild 20: Menü "IPsec-Richtlinie" mit Beispielwerten der neuen IPsec-Richtlinie "ESP-AES256-SHA2(256)"
Bild 21: Menü "IPsec Konfiguration" mit den beiden neu erstellten Richtlinien "PSK-AES256-SHA2(256)" und "ESP-AES256-SHA2(256)"
Weiter geht es mit Klick auf "Schließen". <br />Es wird wieder das Menü Menü "Profil-Einstellungen" für das Profil "RS353jw_IPSec/IKEv1" angezeigt. <br />
Hier sind nun die beiden neuen Richtlinien auszuwählen bei "IKE-Richtlinie" und bei "IPsec-Richtlinie".
Bild 24: Startmenü mit dem ausgewähltem Verbindungs-Profil "RS353jw_IPSec/IKEv1"
Mit Betätigung des Schiebeschalters "Verbindung" kann hier nun die Aktivierung der gewünschten VPN-Verbindung veranlaßt werden, <br />- was unter günstigen Umständen nur wenige (z.B. 10) Sekunden an Zeit beansprucht.
Beispiel für das Startmenü (sog. "Monitor") des bintec Secure IPSec Clients mit der Anzeige des erfolgreich aufgebauten VPN-Tunnels:
[[Bild:IPSec_Client_IKEv1_25.png|none|Startmenü mit Anzeige des erfolgreich aufgebauten VPN-Tunnels]]
Bild 25: Startmenü (sog. "Monitor") des bintec Secure IPSec Clients mit der Anzeige des erfolgreich aufgebauten VPN-Tunnels
Zum Trennen der bestehenden Verbindung ist wiederum der Schiebeschalter "Verbindung" zu betätigen.
===Kontrolle der Funktion des konfigurierten VPN-Verbindungsprofiles===
* Eine einfache gute Kontrolle ermöglichen die Syslog-Meldungen der IPSec-Gegenstelle.* Bei bintec Routern zum Beispiel einfach am Prompt der Router-Konsole mittels Kommando "debug all&".
Beispiel mit dem Beispielmeldungen bei der erfolgreichen VPN-IPSec-Verbindung des bintec Secure IPSec Clients zu einem bintec RS353jw:
<pre>rs353jw_ks:> debug all&
19:10:46 INFO/IPSEC: CFG: peer 1 (Test_Peer) sa 7 (R): ip address 11.11.11.50 assigned
19:10:46 INFO/IPSEC: P2: peer 1 (Test_Peer) traf 0 bundle 3 (R): created 11.11.11.0/24:0 < any > 11.11.11.50/32:0 rekeyed 0
19:10:46 DEBUG/INET: NAT: new expected session on ifc 1000000 prot 2 224.0.0.22:-1/224.0.0.22:0 <- 192.168.0.20:0
19:10:46 DEBUG/INET: NAT: new incoming session on ifc 1000000 prot 2 224.0.0.252:0/224.0.0.252:0 <- 192.168.0.119:0
19:10:46 DEBUG/INET: NAT: new expected session on ifc 1000000 prot 2 224.0.0.22:-1/224.0.0.22:0 <- 192.168.2.124:0
19:10:46 DEBUG/INET: NAT: new incoming session on ifc 1000000 prot 17 224.0.0.252:5355/224.0.0.252:5355 <- 192.168.0.20:64582
19:10:46 DEBUG/INET: NAT: new incoming session on ifc 1000000 prot 2 239.255.255.250:0/239.255.255.250:0 <- 192.168.0.119:0
19:10:46 DEBUG/INET: NAT: new expected session on ifc 1000000 prot 2 224.0.0.22:-1/224.0.0.22:0 <- 172.16.64.175:0
19:10:46 DEBUG/IPSEC: P2: peer 1 (Test_Peer) traf 0 bundle 3 (R): SA 5 established ESP[72067215] in[0] Mode tunnel enc aes-cbc (256 bit) auth sha2-256 (256 bit)
19:10:46 DEBUG/IPSEC: P2: peer 1 (Test_Peer) traf 0 bundle 3 (R): SA 6 established ESP[5af9b677] out[0] Mode tunnel enc aes-cbc (256 bit) auth sha2-256 (256 bit)
19:10:46 INFO/IPSEC: Activate Bundle 3 (Peer 1 Traffic -1)
19:10:46 INFO/IPSEC: P2: peer 1 (Test_Peer) traf 0 bundle 3 (R): established (192.168.4.115<->192.168.4.20) with 2 SAs life 28800 Sec/0 Kb rekey 25920 Sec/0 Kb Hb none PMTU
...
</pre>
Anschließend noch testweises Ping vom PC durch den VPN-Tunnel zu einem Host im LAN der Gegenstelle:
<pre>D:\TEMP>ping 11.11.11.115
Ping wird ausgeführt für 11.11.11.115 mit 32 Bytes Daten:
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=63
Antwort von 11.11.11.115: Bytes=32 Zeit=1ms TTL=63
Ping-Statistik für 11.11.11.115:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),...
</pre>
 
===Abschlußbemerkung===
* Denken Sie bitte auch daran sich gegebenenfalls auch um eine ordungsgemäße DNS-Namensauflösung zu kümmern.* Vergessen Sie nicht Ihre gewünschten Konfigurationseinstellungen Konfiguration in eine Datei zu sichern.Das erfolgt - im Menü "Konfiguration" unter "Profil-Sicherung" mit Klick auf "Erstellen".
===Basis===
Erstellt: 7.+8.11.2017 <br />
Produkt: bintec Secure IPSec Client <br />
Release: Version 3.11, Build 32792, 64 Bit <br />
[[Kategorie:VPN]]
[[Kategorie:VPN ALL-IP]]
<!-- bintec Secure IPSec Client, IPSec-Verbindung, IPSec-Tunnel, VPN-Verbindung, VPN-Tunnel, IKEv1, Preshared Key, PSK -->
Klaus Stavemann
910
Bearbeitungen
Abgerufen von „http://faq.bintec-elmeg.com/index.php?title=Spezial:Mobiler_Unterschied/2564...2804