Funkwerk EC
enterprise communications
Funkwerk SC
security communications
Funkwerk
IAD GmbH
Funkwerk
IP Appliances GmbH
 english deutsch france polnisch italian spanish
  Home  |   F.O.C.U.S. Login  |   FAQ  |   Kontakt  |   Impressum  |
Suche   
   
- FAQ
- FAQ zu bintec Produkten
Access Lists, Stateful Inspection
Allgemeines
CAPI
Event Scheduler
Fax
Hardware
Internetzugang
Internet Protocol (IP)
IP Load Balancing
ISDN
Konfigurationsmanagement
Lizenzen
Modems
Quality of Service (QoS)
RADIUS
SHDSL
Stateful Inspection, Access Lists
Switches
Testzugänge
Ungewollte Verbindungen
Unified Threat Management (UTM)
Updates
Virtual LAN/Redundanz (VLAN/BRRP)
Voice over IP (VoIP)
VPN - IPSec
VPN - IPSec Client
VPN - PPTP
WAN - Partner
Wireless LAN (WLAN)
X.21
XAdmin
Ältere Themen
BinGO! Plus / Professional
IPX
Token Authentication Firewall (TAF)
XAir
XCENTRIC
Kategorie: VPN-IPSec
IPSec mit dynamischen IP-Adressen und DynDNS auf beiden Seiten
Diese Anleitung zeigt schrittweise eine IPSec Konfiguration an Bintec Routern (hier X1200 II und VPN Access 25), um eine sichere IPSec Verbindung zwischen zwei Netzwerken zu ermöglichen (Beispiel mit Image 7.1.12 Patch 1 IPSec). Als Authentifizierung wird Preshared Keys verwendet.

1. Szenario


2. Voraussetzungen

Beide Router bzw. Netzwerke haben eine bestehende Verbindung zum Internet-Provider. In diesem Beispiel sind der X1200 II und der VPN Access 25 über das en3-Interface mit einer DLS Flatrate zum Internet Service Provider (ISP) verbunden. Beide Router bekommen dynamisch eine offizielle IP Adresse zugewiesen und haben einen DynDNS Account eingerichtet.

3. Konfiguration X1200 II

3.1 DynDNS Account einrichten

Gehen Sie im Setup unter IP auf den Menupunkt DynDNS und fügen Sie mit ADD den DynDNS Account hinzu.

X1200 II Setup Tool                                    BinTec Communications AG
[IP][DYNDNS][EDIT]: Dynamic DNS Service                              X1200_test
_______________________________________________________________________________

          Host Name                  test1.dyndns.org
          Interface                  DSL ISP
          User                       test
          Password                   test

          Provider                   dyndns
          MX
          Wildcard                   off
          Permission                 enabled

                    SAVE                               CANCEL
_______________________________________________________________________________
Anschließend gehen Sie mit SAVE aus diesem Menu.

X1200 II Setup Tool                                    BinTec Communications AG
[IP][DYNDNS]: Dynamic DNS Service                                    X1200_test
_______________________________________________________________________________

   DynDNS Services:

    Host Name                Interface        Permission     State
  test1.dyndns.org           DSL ISP          enabled      up-to-date


 DynDNS Provider List>

     ADD                 DELETE              EXIT
_______________________________________________________________________________
Der State sollte hier nach einigen Minuten auf up-to-date stehen.

3.2 IPSec Konfiguration

Vorraussetzung: Der IPSec Wizard wurde bereits ausgeführt, so dass alle nötigen Grundeinstellungen
bereits vorhanden sind. Nähere Informationen dazu finden Sie unter dem folgenden Link:

Erstkonfiguration von IPSec über den IPSec-Wizard und Hinweise zum IPSec-Wizard

Die Konfiguration des Peers erfolgt im Setup unter IPSEC im Menü Configure Peers

X1200 II Setup Tool                                 BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT]: Configure Peer                                 x1200_test
_______________________________________________________________________________

     Description:       vpn25_test
     Admin Status:      up        Oper Status:   dormant

     Peer Address:      test2.dyndns.org
     Peer IDs:          vpn25_test
     Pre Shared Key:    ***************

     IPSec Callback >
     Peer specific Settings >

     Virtual Interface: yes
     Interface IP Settings >
 
                          SAVE                          CANCEL
_______________________________________________________________________________
Bei Peer Address geben Sie den DynDNS Namen der VPN Access 25 an. Die Peer ID ist die Local ID (wird bei IKE Phase 1 angegeben) der VPN Access 25.

Um nun den Peer als Interface zu konfigurieren, setzen Sie Virtual Interface auf yes. Wählen Sie anschließend unter Interface IP Settings die Basic IP-Settings aus um in folgendes Menü zu gelangen:

X1200 II Setup Tool                                 BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings (vpn25_test)            x1200_test
_______________________________________________________________________________

  IP Transit Network                    no

  Local IP Address                      192.168.100.1

  Default Route                         no

  Remote IP Address                     192.168.200.0
  Remote Netmask                        255.255.255.0

                    SAVE                               CANCEL
_______________________________________________________________________________
Bei Local IP Address geben Sie die IP Adresse des LAN Interfaces und bei Remote IP Address und Remote Netmask die LAN IP Adresse und die Netzmaske der VPN Access 25 an. 

Nun müssen noch die Einstellungen für IKE (Phase 1) und IPSec (Phase 2) vorgenommen werden. Die Konfiguration erfolgt im Setup unter IPSec unter IKE (Phase 1) Defaults bzw. IPSec (Phase1) Defaults.

X1200 II Setup Tool                                 BinTec Access Networks GmbH
[IPSEC][PHASE1][EDIT]                                                x1200_test
_______________________________________________________________________________

   Description (Idx 1) :    *autogenerated*
   Proposal              :  1 (Blowfish/MD5)
   Lifetime              :  use default
   Group                 :  2 (1024 bit MODP)
   Authentication Method :  Pre Shared Keys
   Mode                  :  aggressive
   Heartbeats            :  both
   Block Time            :  0
   Local ID              :  X1200 II_test
   Local Certificate     :  none
   CA Certificates       :
   Nat-Traversal         :  enabled

   View Proposals >
   Edit Lifetimes >

                         SAVE                          CANCEL
_______________________________________________________________________________
Diese IKE (Phase 1) Einstellungen müssen auf den beiden Gegenstellen übereinstimmen. Die Local ID entspricht der Peer ID auf der VPN Access 25.

X1200 II Setup Tool                                 BinTec Access Networks GmbH
[IPSEC][PHASE2][EDIT]                                                x1200_test
_______________________________________________________________________________

   Description (Idx 1) :    *autogenerated*

   Proposal              :  1 (ESP(Blowfish/MD5) no Co
   Lifetime              :  use default
   Use PFS               :  group 2 (1024 bit MODP)
   Heartbeats            :  both
   Propagate PMTU        :  yes

   View Proposals >
   Edit Lifetimes >

                         SAVE                          CANCEL
_______________________________________________________________________________
Auch die IPSec (Phase 2) Einstellungen müssen auf beiden Seiten identisch sein.

Im Menü IPSec, Advanced Settings sollte der Wert Sync SAs With Local Ifc auf yes gestellt werden.

X1200 II Setup Tool                                 BinTec Access Networks GmbH
[IPSEC][ADVANCED]: IPsec Configuration - Advanced Settings           x1200_test
_______________________________________________________________________________

  Ignore Cert Req Payloads :  no
  Dont send Cert Req Payl. :  no
  Dont Send Cert Chains    :  no
  Dont send CRLs           :  yes

  Dont send Key Hash Payl. :  no
  Trust ICMP Messages      :  no
  Dont Send Initial Contact:  no
  Sync SAs With Local Ifc  :  yes
  Max. Symmetric Key Length:  1024
  Use Zero Cookies         :  no

  RADIUS Authentication    :  disabled

                         SAVE                          CANCEL
_______________________________________________________________________________
4. Konfiguration VPN Access 25

4.1 DynDNS Account einrichten

Gehen Sie im Setup unter IP auf den Menüpunkt DynDNS und fügen Sie mit ADD den DynDNS Account hinzu.

VPN Access 25 Setup Tool                Funkwerk Enterprise Communications GmbH
[IP][DYNDNS][ADD]                                                    vpn25_test
_______________________________________________________________________________

          Host Name                  test2.dyndns.org
          Interface                  DSL ISP
          User                       test
          Password                   test

          Provider                   dyndns
          MX
          Wildcard                   off
          Permission                 enabled
 
                    SAVE                               CANCEL
_______________________________________________________________________________

 
VPN Access 25 Setup Tool                Funkwerk Enterprise Communications GmbH
[IP][DYNDNS]: Dynamic DNS Service                                    vpn25_test
_______________________________________________________________________________

   DynDNS Services:

    Host Name                Interface        Permission     State
  test2.dyndns.org           DSL ISP          enabled      up-to-date


 DynDNS Provider List>

     ADD                 DELETE              EXIT
_______________________________________________________________________________
Der State sollte nach einigen Minuten auf up-to-date stehen.


4.2 IPSec Konfiguration

Vorraussetzung: Der IPSec Wizard wurde bereits ausgeführt, so dass alle nötigen Grundeinstellungen
bereits vorhanden sind.

Die Konfiguration des Peers erfolgt im Setup unter IPSEC im Menü Configure Peers.

VPN Access 25 Setup Tool                Funkwerk Enterprise Communications GmbH
[IPSEC][PEERS][EDIT]: Configure Peer                                 vpn25_test
_______________________________________________________________________________

     Description:       X1200 II_test
     Admin Status:      up        Oper Status:   dormant

     Peer Address:      test1.dyndns.org
     Peer IDs:          X1200 II_test
     Pre Shared Key:    ***************

     IPSec Callback >
     Peer specific Settings >

     Virtual Interface: yes
     Interface IP Settings >

                          SAVE                          CANCEL
_______________________________________________________________________________
Bei Peer Address geben Sie den DynDNS Namen der X1200 II an. Die Peer ID ist die Local ID (wird bei IKE Phase 1 angegeben) der X1200 II.

Um nun den Peer als Interface zu konfigurieren, setzen Sie Virtual Interface auf yes. Wählen Sie anschließend unter Interface IP Settings die Basic IP-Settings aus um in folgendes Menu zu gelangen:

VPN Access 25 Setup Tool                Funkwerk Enterprise Communications GmbH
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings (X1200 II_test)         vpn25_test
_______________________________________________________________________________

  IP Transit Network                    no

  Local IP Address                      192.168.200.1

   Default Route                         no

  Remote IP Address                     192.168.100.0
  Remote Netmask                        255.255.255.0

                    SAVE                               CANCEL
_______________________________________________________________________________
Bei Local IP Address geben Sie die IP Adresse des eigenen LAN Interfaces an und bei Remote IP Address und Remote Netmask die IP Adresse und die Netzmaske der LAN Schnittstelle der X1200 II.

Die Einstellungen für IKE (Phase 1) und IPsec (Phase 2) werden entsprechend den Einstellungen der X1200 II vorgenommen. Die Konfiguration erfolgt im Setup unter IPSec unter IKE (Phase 1) Defaults bzw. IPSec (Phase1) Defaults.

VPN Access 25 Setup Tool                Funkwerk Enterprise Communications GmbH
[IPSEC][PHASE1][EDIT]                                                vpn25_test
_______________________________________________________________________________

   Description (Idx 1) :    *autogenerated*
   Proposal              :  1 (Blowfish/MD5)
   Lifetime              :  use default
   Group                 :  2 (1024 bit MODP)
   Authentication Method :  Pre Shared Keys
   Mode                  :  aggressive
   Heartbeats            :  both
   Block Time            :  0
   Local ID              :  vpn25_test
   Local Certificate     :  none
   CA Certificates       :
   Nat-Traversal         :  enabled

   View Proposals >
   Edit Lifetimes >

                         SAVE                          CANCEL
_______________________________________________________________________________
Die Local ID muss der Peer ID auf der X1200 II entsprechen.

VPN Access 25 Setup Tool                Funkwerk Enterprise Communications GmbH
[IPSEC][PHASE2][EDIT]                                                vpn25_test
_______________________________________________________________________________

   Description (Idx 1) :    *autogenerated*

   Proposal              :  1 (ESP(Blowfish/MD5) no Co
   Lifetime              :  use default
   Use PFS               :  group 2 (1024 bit MODP)
   Heartbeats            :  both
   Propagate PMTU        :  yes

   View Proposals >
   Edit Lifetimes >

                         SAVE                          CANCEL
_______________________________________________________________________________
 

Im Menü IPSec, Advanced Settings sollte der Wert Sync SAs With Local Ifc auf yes gestellt werden.

VPN Access 25 Setup Tool                Funkwerk Enterprise Communications GmbH
[IPSEC][ADVANCED]: IPsec Configuration - Advanced Settings           vpn25_test
_______________________________________________________________________________

  Ignore Cert Req Payloads :  no
  Dont send Cert Req Payl. :  no
  Dont Send Cert Chains    :  no
  Dont send CRLs           :  yes

  Dont send Key Hash Payl. :  no
  Trust ICMP Messages      :  no
  Dont Send Initial Contact:  no
  Sync SAs With Local Ifc  :  yes
  Max. Symmetric Key Length:  1024
  Use Zero Cookies         :  no

  RADIUS Authentication    :  disabled

                         SAVE                          CANCEL
_______________________________________________________________________________
5. Test

5.1 X1200 II Seite

X1200 II_test:> debug ipsec&
X1200 II_test:> ping –s 192.168.100.1 192.168.200.1
PING 192.168.200.1 FROM 192.168.100.1: 64 data bytes
15:21:33 DEBUG/IPSEC: P1: peer 1 (vpn25_test) sa 3 (I): identified ip 213.6.255.160 -> ip 84.149.211.57
15:21:34 INFO/IPSEC: P1: peer 1 (vpn25_test) sa 3 (I): Vendor ID: 84.149.211.57:500 (fqdn(any:0,[0..9]=vpn25_test)) is 'BINTEC'
15:21:34 INFO/IPSEC: P1: peer 1 (vpn25_test) sa 3 (I): Vendor ID: 84.149.211.57:500 (fqdn(any:0,[0..9]=vpn25_test)) is 'BINTEC Heartbeats Version 1'
15:21:34 INFO/IPSEC: Trigger Bundle -6 (Peer 1 Traffic -1) prot 1 192.168.100.1:0->192.168.200.1:0
15:21:34 INFO/IPSEC: P1: peer 1 (vpn25_test) sa 3 (I): done id fqdn(any:0,[0..12]=X1200 II_test) -> id fqdn(any:0,[0..9]=vpn25_test) AG[3c548dc2 dbc12cc6 : 0980dd99 f5c29884]
15:21:34 INFO/IPSEC: P2: peer 1 (vpn25_test) traf 0 bundle -6 (I): created 192.168.100.1/32:0 < any > 192.168.200.0/24:0 rekeyed 0
15:21:36 DEBUG/IPSEC: P2: peer 1 (vpn25_test) traf 0 bundle -6 (I): SA 11 established ESP[784860ce] in[0] Mode tunnel enc blowfish-cbc(16) auth md5(16)
15:21:36 DEBUG/IPSEC: P2: peer 1 (vpn25_test) traf 0 bundle -6 (I): SA 12 established ESP[03dac1c7] out[0] Mode tunnel enc blowfish-cbc(16) auth md5(16)
15:21:36 INFO/IPSEC: Activate Bundle -6 (Peer 1 Traffic -1)
15:21:36 INFO/IPSEC: P2: peer 1 (vpn25_test) traf 0 bundle -6 (I): established (213.6.255.160<->84.149.211.57) with 2 SAs life 28800 Sec/0 Kb rekey 23040 Sec/0 Kb Hb both PMTU
64 bytes from 192.168.200.1: icmp_seq=4. time=119. ms
64 bytes from 192.168.200.1: icmp_seq=5. time=119. ms
64 bytes from 192.168.200.1: icmp_seq=6. time=119. ms

----192.168.200.1 PING Statistics----
13 packets transmitted, 9 packets received, 30% packet loss
round-trip (ms)  min/avg/max = 119/119/119
X1200 II_test:>

5.2 VPN Access 25 Seite

vpn25_test:> debug ipsec&
00:13:37 DEBUG/IPSEC: P1: peer 0 () sa 1 (R): new ip 84.149.211.57 <- ip 213.6.255.160
00:13:37 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 213.6.255.160:1023 (No Id) is 'BINTEC'
00:13:37 INFO/IPSEC: P1: peer 0 () sa 1 (R): Vendor ID: 213.6.255.160:1023 (No Id) is 'BINTEC Heartbeats Version 1'
00:13:37 DEBUG/IPSEC: P1: peer 1 (X1200 II_test) sa 1 (R): identified ip 84.149.211.57 <- ip 213.6.255.160
00:13:38 DEBUG/IPSEC: P1: peer 1 (X1200 II_test) sa 1 (R): notify id fqdn(any:0,[0..9]=vpn25_test) <- id fqdn(any:0,[0..12]=X1200 II_test) (unencrypted): Initial contact notification proto 1 spi(16) = [3c548dc2 dbc12cc6 : 0980dd99 f5c29884]
00:13:38 INFO/IPSEC: P1: peer 1 (X1200 II_test) sa 1 (R): done id fqdn(any:0,[0..9]=vpn25_test) <- id fqdn(any:0,[0..12]=X1200 II_test) AG[3c548dc2 dbc12cc6 : 0980dd99 f5c29884]
00:13:39 INFO/IPSEC: P2: peer 1 (X1200 II_test) traf 0 bundle 1 (R): created 192.168.200.0/24:0 < any > 192.168.100.1/32:0 rekeyed 0
00:13:40 DEBUG/IPSEC: P2: peer 1 (X1200 II_test) traf 0 bundle 1 (R): SA 1 established ESP[03dac1c7] in[0] Mode tunnel enc blowfish-cbc(16) auth md5(16)
00:13:40 DEBUG/IPSEC: P2: peer 1 (X1200 II_test) traf 0 bundle 1 (R): SA 2 established ESP[784860ce] out[0] Mode tunnel enc blowfish-cbc(16) auth md5(16)
00:13:40 INFO/IPSEC: Activate Bundle 1 (Peer 1 Traffic -1)
00:13:40 INFO/IPSEC: P2: peer 1 (X1200 II_test) traf 0 bundle 1 (R): established (84.149.211.57<->213.6.255.160) with 2 SAs life 28800 Sec/0 Kb rekey 25920 Sec/0 Kb Hb both PMTU
vpn25_test:>

 

 

on
© 2008 by Funkwerk Enterprise Communications GmbH
Diese Seite wurde zuletzt geändert am: 07. Juli 2008