Kategorie: VPN-IPSec
ISDN-Backup/AUX-Backup für IPSec-Tunnel ab Release 7.1
Die Anleitung beschreibt die Konfiguration und die Arbeitsweise von ISDN-Backup und AUX-Analog-Backup für einen IPSec-Tunnel, anhand eines Beispielfalls.
Übersicht
[1] Einleitung, Konfiguration der Zentralseite, Konfiguration der Filialseite
Einleitung
Ziel dieser Anleitung ist es, Backup Wege für einen IPSec-Tunnel zu beschreiben.
Szenario:
Szenario:
IPSec Verbindung mit Backup über ISDN und AUX/Analog
Der IPSec-Tunnel wird im Normalfall über einen DSL Internetzugang realisiert. Bei Störungen der DSL Strecke wird ein Backup über ISDN aufgebaut, der IPSec-Tunnel läuft dann über die ISDN Internetverbindung. Sollte auf der Zentralseite auch das ISDN ausfallen, so wird eine Backup-Verbindung über das AUX-Interface aufgebaut. Bintec Router unterstützen ab Software Release 7.1.1 Analog-/GSM-Verbindungen über die AUX (serielle) Schnittstelle. In diesem Beispiel wird an der AUX-Schnittstelle über ein Y-Kabel ein U.S. Robotics 56K Faxmodem angeschlossen.
Für die Internetzugänge sind unterschiedliche Accounts zu verwenden, da es möglich ist, dass zwei Internetzugänge parallel aktiv sind.
Der IPSec-Tunnel wird im Normalfall über einen DSL Internetzugang realisiert. Bei Störungen der DSL Strecke wird ein Backup über ISDN aufgebaut, der IPSec-Tunnel läuft dann über die ISDN Internetverbindung. Sollte auf der Zentralseite auch das ISDN ausfallen, so wird eine Backup-Verbindung über das AUX-Interface aufgebaut. Bintec Router unterstützen ab Software Release 7.1.1 Analog-/GSM-Verbindungen über die AUX (serielle) Schnittstelle. In diesem Beispiel wird an der AUX-Schnittstelle über ein Y-Kabel ein U.S. Robotics 56K Faxmodem angeschlossen.
Für die Internetzugänge sind unterschiedliche Accounts zu verwenden, da es möglich ist, dass zwei Internetzugänge parallel aktiv sind.
Konfiguration der Zentralseite
Der VPN Access 25 Router sollte mindestens die Software Version 7.2 mit IPSec haben.
Für die IPSec Konfiguration ist auf dem Router eine IPSec Lizenz zwingend erforderlich.
Internet WAN Partner konfigurieren
Es werden drei WAN Partner angelegt für Internetzugänge über DSL, ISDN bzw. AUX/Analog.
Über die Metrik der Default Routen wird die Priorität der Internetzugänge festgelegt.
Für die IPSec Konfiguration ist auf dem Router eine IPSec Lizenz zwingend erforderlich.
Internet WAN Partner konfigurieren
Es werden drei WAN Partner angelegt für Internetzugänge über DSL, ISDN bzw. AUX/Analog.
Über die Metrik der Default Routen wird die Priorität der Internetzugänge festgelegt.
vpn25:> netstat -r
Typ Destination Netmask Gateway Metric Interface Proto
LOC 100.100.100.0 255.255.255.0 100.100.100.1 0 en0-1 local
DEF default 0.0.0.0 1 ISP-DSL local
DEF default 0.0.0.0 5 ISP-ISDN local
DEF default 0.0.0.0 10 ISP-AUX local
vpn25:>
Typ Destination Netmask Gateway Metric Interface Proto
LOC 100.100.100.0 255.255.255.0 100.100.100.1 0 en0-1 local
DEF default 0.0.0.0 1 ISP-DSL local
DEF default 0.0.0.0 5 ISP-ISDN local
DEF default 0.0.0.0 10 ISP-AUX local
vpn25:>
Anmerkung: Die Static Short-Hold Zeiten der ISDN bzw. AUX WAN Partner sollten möglichst kurz gehalten werden, z.B. 90 Sekunden.
DynDNS konfigurieren
Drei DynDNS Einträge für centralside.dyndns.org sind anzulegen, jeweils für das DSL-, ISDN- bzw. AUX-Internet Interface.
DynDNS konfigurieren
Drei DynDNS Einträge für centralside.dyndns.org sind anzulegen, jeweils für das DSL-, ISDN- bzw. AUX-Internet Interface.
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[IP][DYNDNS]: Dynamic DNS Service vpn25
_______________________________________________________________________________
DynDNS Services:
Host Name Interface Permission State
centralside.dyndns.org ISP-DSL enabled failed
centralside.dyndns.org ISP-ISDN enabled failed
centralside.dyndns.org ISP-AUX enabled failed
DynDNS Provider List>
ADD DELETE EXIT
_______________________________________________________________________________
[IP][DYNDNS]: Dynamic DNS Service vpn25
_______________________________________________________________________________
DynDNS Services:
Host Name Interface Permission State
centralside.dyndns.org ISP-DSL enabled failed
centralside.dyndns.org ISP-ISDN enabled failed
centralside.dyndns.org ISP-AUX enabled failed
DynDNS Provider List>
ADD DELETE EXIT
_______________________________________________________________________________
AUX-Interface konfigurieren
Die Konfiguration erfolgt im Setup, unter dem Menüpunkt AUX:
Die Konfiguration erfolgt im Setup, unter dem Menüpunkt AUX:
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[AUXILIARY]: Settings vpn25
_______________________________________________________________________________
Serial Port : second
Line speed : 115200
Active Profile : Profile 1
Available Profiles:
Profile 1
Profile 2
Profile 3
Profile 4
SAVE CANCEL
_______________________________________________________________________________
[AUXILIARY]: Settings vpn25
_______________________________________________________________________________
Serial Port : second
Line speed : 115200
Active Profile : Profile 1
Available Profiles:
Profile 1
Profile 2
Profile 3
Profile 4
SAVE CANCEL
_______________________________________________________________________________
Die Init Sequence für das U.S. Robotics 56K Faxmodem wird unter "Profile 1" konfiguriert:
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[AUXILIARY][SETUP]: Modem Configuration vpn25
_______________________________________________________________________________
Profile Configuration
Dispatch Item : PPP dialin
GSM SIM PIN : 0000
Escape Char : +
Init Sequence : ATX3&I2
SAVE CANCEL
_______________________________________________________________________________
[AUXILIARY][SETUP]: Modem Configuration vpn25
_______________________________________________________________________________
Profile Configuration
Dispatch Item : PPP dialin
GSM SIM PIN : 0000
Escape Char : +
Init Sequence : ATX3&I2
SAVE CANCEL
_______________________________________________________________________________
Im WAN Partner "ISP AUX" ist die AUX Schnittstelle auszuwählen:
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[WAN][EDIT][WAN NUMBERS][EDIT]: Add or Change WAN Numbers (ISP-AUX) vpn25
_______________________________________________________________________________
Number 00101901929
Direction outgoing
Advanced Settings >
ISDN Ports to use <X> Slot 0 Auxiliary < > Slot 0 ISDN S0
SAVE CANCEL
_______________________________________________________________________________
[WAN][EDIT][WAN NUMBERS][EDIT]: Add or Change WAN Numbers (ISP-AUX) vpn25
_______________________________________________________________________________
Number 00101901929
Direction outgoing
Advanced Settings >
ISDN Ports to use <X> Slot 0 Auxiliary < > Slot 0 ISDN S0
SAVE CANCEL
_______________________________________________________________________________
IPSec Interface konfigurieren
Der IPSec Wizard sollte durchlaufen werden, da dieser verschiedene benötigte Einstellungen vornimmt, wie z.B. die "Pre IPSec Rules" oder die NAT Einstellungen.
Beispiel für "IKE (Phase 1) Defaults" und "IPsec (Phase 2) Defaults" mit Authentication Method=Pre Shared Keys, Mode=aggressive und Local ID=zentrale:
Der IPSec Wizard sollte durchlaufen werden, da dieser verschiedene benötigte Einstellungen vornimmt, wie z.B. die "Pre IPSec Rules" oder die NAT Einstellungen.
Beispiel für "IKE (Phase 1) Defaults" und "IPsec (Phase 2) Defaults" mit Authentication Method=Pre Shared Keys, Mode=aggressive und Local ID=zentrale:
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[IPSEC][PHASE1][EDIT] vpn25
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (Blowfish/MD5)
Lifetime : use default
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Heartbeats : none
Block Time : 0
Local ID : zentrale
Local Certificate : none
CA Certificates :
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
VPN Access 25 Setup Tool BinTec Access Networks GmbH [IPSEC][PHASE2][EDIT] vpn25
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (ESP(Blowfish/MD5) no Comp
Lifetime : use default
Use PFS : none
Heartbeats : none
Propagate PMTU : no
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PHASE1][EDIT] vpn25
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (Blowfish/MD5)
Lifetime : use default
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Heartbeats : none
Block Time : 0
Local ID : zentrale
Local Certificate : none
CA Certificates :
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
VPN Access 25 Setup Tool BinTec Access Networks GmbH [IPSEC][PHASE2][EDIT] vpn25
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (ESP(Blowfish/MD5) no Comp
Lifetime : use default
Use PFS : none
Heartbeats : none
Propagate PMTU : no
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
Unter IPSec -> Advanced Settings sollte "Sync SAs With Local Ifc" auf "yes" gesetzt werden. Dies bewirkt, dass beim Ausfall eines Interfaces (z.B. des DSL Interfaces) die dazugehörigen IPSec SAs gelöscht werden.
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[IPSEC][ADVANCED]: IPsec Configuration - Advanced Settings vpn25
_______________________________________________________________________________
Ignore Cert Req Payloads : no
Dont send Cert Req Payl. : no
Dont Send Cert Chains : no
Dont send CRLs : yes
Dont send Key Hash Payl. : no
Trust ICMP Messages : no
Dont Send Initial Contact: no
Sync SAs With Local Ifc : yes
Max. Symmetric Key Length: 1024
Use Zero Cookies : no
RADIUS Authentication : disabled
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][ADVANCED]: IPsec Configuration - Advanced Settings vpn25
_______________________________________________________________________________
Ignore Cert Req Payloads : no
Dont send Cert Req Payl. : no
Dont Send Cert Chains : no
Dont send CRLs : yes
Dont send Key Hash Payl. : no
Trust ICMP Messages : no
Dont Send Initial Contact: no
Sync SAs With Local Ifc : yes
Max. Symmetric Key Length: 1024
Use Zero Cookies : no
RADIUS Authentication : disabled
SAVE CANCEL
_______________________________________________________________________________
Konfiguration eines IPSec Peers gemäß dem Interface Konzept (ab 7.1.1):
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT] vpn25
_______________________________________________________________________________
Description: Filiale11
Admin Status: up Oper Status: dormant
Peer Address: filiale11.dyndns.org
Peer IDs: filiale11
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT] vpn25
_______________________________________________________________________________
Description: Filiale11
Admin Status: up Oper Status: dormant
Peer Address: filiale11.dyndns.org
Peer IDs: filiale11
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
Unter Interface IP Settings -> Basic IP-Settings:
VPN Access 25 Setup Tool BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings () vpn25
_______________________________________________________________________________
IP Transit Network no
Local IP Address 100.100.100.1
Default Route no
Remote IP Address 200.200.200.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings () vpn25
_______________________________________________________________________________
IP Transit Network no
Local IP Address 100.100.100.1
Default Route no
Remote IP Address 200.200.200.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
Die Routing Tabelle sieht nach dem Anlegen des IPSec Peers folgendermaßen aus:
vpn25:> netstat -r
Typ Destination Netmask Gateway Metric Interface Proto
LOC 100.100.100.0 255.255.255.0 100.100.100.1 0 en0-1 local
DEF default 0.0.0.0 1 ISP-DSL local
DEF default 0.0.0.0 5 ISP-ISDN local
DEF default 0.0.0.0 10 ISP-AUX local
LOC 200.200.200.0 255.255.255.0 100.100.100.1 0 Filiale11 local
vpn25:>
Typ Destination Netmask Gateway Metric Interface Proto
LOC 100.100.100.0 255.255.255.0 100.100.100.1 0 en0-1 local
DEF default 0.0.0.0 1 ISP-DSL local
DEF default 0.0.0.0 5 ISP-ISDN local
DEF default 0.0.0.0 10 ISP-AUX local
LOC 200.200.200.0 255.255.255.0 100.100.100.1 0 Filiale11 local
vpn25:>
Konfiguration der Filialseite
Der X1000 II sollte mindestens die Software Version 7.1.1 mit IPSec haben.
Für die IPSec Konfiguration ist auf dem Router eine IPSec Lizenz zwingend erforderlich.
Auf dem Filialrouter ist ein Internetzugang über ISDN zu konfigurieren, inklusive DynDNS (im Beispiel filiale11.dyndns.org).
IPSec Interface konfigurieren:
Der IPSec Wizard sollte durchlaufen werden, da dieser verschiedene benötigte Einstellungen vornimmt, wie z.B. die "Pre IPSec Rules" oder die NAT Einstellungen.
Beispiel für "IKE (Phase 1) Defaults" mit Authentication Method=Pre Shared Keys, Mode=aggressive und Local ID=filiale11 (die "IPsec (Phase 2) Defaults" sind identisch zur Zentralseite).
Für die IPSec Konfiguration ist auf dem Router eine IPSec Lizenz zwingend erforderlich.
Auf dem Filialrouter ist ein Internetzugang über ISDN zu konfigurieren, inklusive DynDNS (im Beispiel filiale11.dyndns.org).
IPSec Interface konfigurieren:
Der IPSec Wizard sollte durchlaufen werden, da dieser verschiedene benötigte Einstellungen vornimmt, wie z.B. die "Pre IPSec Rules" oder die NAT Einstellungen.
Beispiel für "IKE (Phase 1) Defaults" mit Authentication Method=Pre Shared Keys, Mode=aggressive und Local ID=filiale11 (die "IPsec (Phase 2) Defaults" sind identisch zur Zentralseite).
X1000 II Setup Tool BinTec Access Networks GmbH
[IPSEC][PHASE1][EDIT] x1000 ii
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (Blowfish/MD5)
Lifetime : use default
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Heartbeats : both
Block Time : 0
Local ID : filiale11
Local Certificate : none
CA Certificates :
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PHASE1][EDIT] x1000 ii
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (Blowfish/MD5)
Lifetime : use default
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Heartbeats : both
Block Time : 0
Local ID : filiale11
Local Certificate : none
CA Certificates :
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
Konfiguration des IPSec Peers zur Zentrale, gemäß dem Interface Konzept (ab 7.1.1):
X1000 II Setup Tool BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT] x1000 ii
_______________________________________________________________________________
Description: Zentrale
Admin Status: up Oper Status: dormant
Peer Address: centralside.dyndns.org
Peer IDs: zentrale
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT] x1000 ii
_______________________________________________________________________________
Description: Zentrale
Admin Status: up Oper Status: dormant
Peer Address: centralside.dyndns.org
Peer IDs: zentrale
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
Unter Interface IP Settings -> Basic IP-Settings:
X1000 II Setup Tool BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings () x1000 ii
_______________________________________________________________________________
IP Transit Network no
Local IP Address 200.200.200.1
Default Route no
Remote IP Address 100.100.100.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings () x1000 ii
_______________________________________________________________________________
IP Transit Network no
Local IP Address 200.200.200.1
Default Route no
Remote IP Address 100.100.100.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
Die Routing Tabelle sieht nach dem Anlegen des IPSec Peer folgendermaßen aus:
x1000 ii:> netstat -r
Typ Destination Netmask Gateway Metric Interface Proto
LOC 200.200.200.0 255.255.255.0 200.200.200.1 0 en1-0 local
DEF default 0.0.0.0 1 Internet local
LOC 100.100.100.0 255.255.255.0 200.200.200.1 0 Zentrale local
x1000 ii:>
Typ Destination Netmask Gateway Metric Interface Proto
LOC 200.200.200.0 255.255.255.0 200.200.200.1 0 en1-0 local
DEF default 0.0.0.0 1 Internet local
LOC 100.100.100.0 255.255.255.0 200.200.200.1 0 Zentrale local
x1000 ii:>