Kategorie: VPN-IPSec
IPSec Erstkonfiguration mit dem Setup IPSec Wizard ab Version 7.1.1
Diese FAQ erläutert die Erstkonfiguration von IPSec über den IPSec-Wizard und gibt Hinweise zur Funktion des IPSec-Wizard. Zur Erläuterung der Funktion wurde ein X1200II Router mit SW-Release 7.1.12 Patch 1 IPSec verwendet.
1. Voraussetzungen zur Nutzung von IPSec auf dem Bintec-Router
- Ein IPSec-Image muß auf dem Bintec-Router installiert sein.
- Eine IPSec-Lizenz muß auf dem Bintec-Router eingetragen sein.
2. Erstaufruf des Setup IPSec-Menüs
Bei Erstaufruf des IPSec-Menüs, d.h. der Router befindet sich im Auslieferungszustand und die notwendigen IPSec-spezifischen Einstellungen sind nicht vorhanden, wird vor dem Öffnen des eigentlichen IPSec-Konfigurationsmenüs der IPSec-Wizard gestartet. Der IPSec-Wizard dient zur automatisierten Erstellung einiger notwendiger IPSec-Grundeinstellungen und zur Grundkonfiguration eines IPSec-Peers. Jede weitere Konfiguration (weitere IPSec-Peers oder Detaileinstellungen) muss dann über das eigentliche IPSec-Menü konfiguriert werden.
Wichtig:
Der erste Konfigurationsschritt des IPSec-Wizard MUSS zwingend zur Erstellung einiger notwendiger IPSec-Grundeinstellungen abgearbeitet werden!
Nähere Hinweise zum Thema IPSec-Grundeinstellungen finden Sie weiter unten im Absatz: "3. Welche IPSec-Grundeinstellungen werden durch den IPSec-Wizard automatisiert vorgenommen?".
Starten Sie im Setup Tool unter IPSec den IPSec-Wizard mit "Yes"!
X1200 II Setup Tool Bintec Access Networks GmbH
[IPSEC]: IPsec Configuration - Main Menu X1200II
_______________________________________________________________________________
There are still some prerequisite configuration steps to do.
Do you want to use the wizard?
Yes No
_______________________________________________________________________________
[IPSEC]: IPsec Configuration - Main Menu X1200II
_______________________________________________________________________________
There are still some prerequisite configuration steps to do.
Do you want to use the wizard?
Yes No
_______________________________________________________________________________
Wählen Sie "start wizard" aus und bestätigen Sie mit <Enter>!
X1200 II Setup Tool Bintec Access Networks GmbH
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
What to do? start wizard
(<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
What to do? start wizard
(<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
Wählen Sie die gewünschte "Default IPSEC Authentication Method" aus und bestätigen Sie mit <Enter>!
X1200 II Setup Tool Bintec Access Networks GmbH
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
- for ESP: NULL Rijndael Twofish Blowfish CAST DES DES3 ^
MD5 SHA1 NOMAC |
- for AH: SHA1 MD5 |
+ Check default IKE profile ... |
already configured |
+ Check default IPSec profile ... |
already configured (default settings) |
+ Check IPSEC Default Authentication Method ... |
Currently set to "current: PSK" =
Use which Default IPSEC Authentication Method ? current: PSK
(<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
- for ESP: NULL Rijndael Twofish Blowfish CAST DES DES3 ^
MD5 SHA1 NOMAC |
- for AH: SHA1 MD5 |
+ Check default IKE profile ... |
already configured |
+ Check default IPSec profile ... |
already configured (default settings) |
+ Check IPSEC Default Authentication Method ... |
Currently set to "current: PSK" =
Use which Default IPSEC Authentication Method ? current: PSK
(<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
Geben Sie die gewünschte Local ID des Routers ein und bestägtigen Sie mit <Enter>!
X1200 II Setup Tool Bintec Access Networks GmbH
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
- for AH: SHA1 MD5 ^
+ Check default IKE profile ... |
already configured |
+ Check default IPSec profile ... |
already configured (default settings) |
+ Check IPSEC Default Authentication Method ... |
Currently set to "current: PSK" |
+ Check IPSEC Default Local ID ... |
Currently unconfigured =
Which Local ID should be used for IPSec ?
(<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
- for AH: SHA1 MD5 ^
+ Check default IKE profile ... |
already configured |
+ Check default IPSec profile ... |
already configured (default settings) |
+ Check IPSEC Default Authentication Method ... |
Currently set to "current: PSK" |
+ Check IPSEC Default Local ID ... |
Currently unconfigured =
Which Local ID should be used for IPSec ?
(<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
Hiermit ist der Konfigurationsvorgang für die zwingend notwendigen IPSec-Grundeinstellungen eigentlich abgeschlossen. Sie können an dieser Stelle den IPSec-Wizard beenden,indem Sie mit <Exit> den IPSec-Wizard verlassen. Die eigentliche Konfiguration der IPSec-Verbindungen kann nun über das IPSec Setup-Menü weitergeführt werden.
Aktivieren Sie IPSec mit "yes" und beginnen Sie mit der eigentlichen Konfiguration der IPSec-Verbindungen im Setup-Tool unter "IPSec, Configure Peers".
Die IPSec-Konfiguration wird aktiv, sobald Sie mindestens einen IPSec-Peer konfiguriert und das IPSec-Menü mit <SAVE> verlassen haben.
Die eben gezeigte Vorgehensweise ist jedoch nicht zwingend. Wie bereits erwähnt, können Sie über den IPSec-Wizard auch einen IPSec-Peer konfigurieren. Wie dies erfolgen kann, ist beispielhaft in der Konfigurationsanleitung für unseren Testzugang dargestellt. Eine Beispielkonfiguration finden Sie unter VPN in 5 Minuten - VPN Gateway (Release 7.1).
Aktivieren Sie IPSec mit "yes" und beginnen Sie mit der eigentlichen Konfiguration der IPSec-Verbindungen im Setup-Tool unter "IPSec, Configure Peers".
Die IPSec-Konfiguration wird aktiv, sobald Sie mindestens einen IPSec-Peer konfiguriert und das IPSec-Menü mit <SAVE> verlassen haben.
Die eben gezeigte Vorgehensweise ist jedoch nicht zwingend. Wie bereits erwähnt, können Sie über den IPSec-Wizard auch einen IPSec-Peer konfigurieren. Wie dies erfolgen kann, ist beispielhaft in der Konfigurationsanleitung für unseren Testzugang dargestellt. Eine Beispielkonfiguration finden Sie unter VPN in 5 Minuten - VPN Gateway (Release 7.1).
3. Welche IPSec-Grundeinstellungen werden durch den IPSec-Wizard automatisiert vorgenommen?
In den IPSec-Tabellen "ikeProposalTable" und "ipsecProposalTable" werden die notwendigen Proposal-Einträge angelegt. Diese System-Tabellen sind im Auslieferungszustand leer und werden erst über den IPSec-Wizard gefüllt. Dies ist der Grund, warum der IPSec-Wizard zwingend mindestens einmal gestartet werden muß.
Ist auf einem Interface (WAN-Interface oder LAN-Interface) NAT aktiviert (und nur dann), werden die zur Funktion von IPSec notwendigen NAT-Freigaben generiert. Es ist somit sinnvoll vor der Konfiguration von IPSec das Interface für den Internet-Zugang zu konfigurieren und die Funktion zu testen. Ansonsten müssten die eventuell notwendigen NAT-Freigaben über das Setup-Menü: "[IP][NAT]: NAT Configuration" manuell eingestellt werden.
Hinweis:
Die vom IPSec-Wizard generierten NAT-Freigaben sind nicht im Setup Konfigurationsmenü "[IP][NAT]: NAT Configuration" sichtbar. Die Einträge können Sie nur in den entsprechenden NAT-Tabellen ersehen.
X1200II:> ipnatpresettable
inx IfIndex(*rw) Protocol(*-rw) RemoteAddr(rw) RemoteMask(rw)
ExtAddr(rw) ExtMask(rw) ExtPort(*rw) ExtPortRange(rw)
IntAddr(rw) IntPort(rw) IntMask(rw) Timeout(rw)
00 0 udp 0.0.0.0 0.0.0.0
0.0.0.0 0.0.0.0 500 -1
0.0.0.0 500 255.255.255.255 0
01 0 udp 0.0.0.0 0.0.0.0
0.0.0.0 0.0.0.0 4500 -1
0.0.0.0 4500 255.255.255.255 0
02 0 esp 0.0.0.0 0.0.0.0
0.0.0.0 0.0.0.0 -1 -1
0.0.0.0 -1 255.255.255.255 0
03 0 ah 0.0.0.0 0.0.0.0
0.0.0.0 0.0.0.0 -1 -1
0.0.0.0 -1 255.255.255.255 0
X1200II:ipNatPresetTable> ipnatouttable
inx IfIndex(*rw) Protocol(-rw) RemoteAddr(rw)
RemoteMask(rw) ExtAddr(*rw) RemotePort(rw)
RemotePortRange(rw) IntAddr(*rw) IntMask(rw)
IntPort(rw) ExtPort(rw) ExtMask(rw)
Timeout(rw)
00 0 esp 0.0.0.0
0.0.0.0 0.0.0.0 -1
-1 0.0.0.0 0.0.0.0
-1 -1 255.255.255.255
0
01 0 ah 0.0.0.0
0.0.0.0 0.0.0.0 -1
-1 0.0.0.0 0.0.0.0
-1 -1 255.255.255.255
0
X1200II:ipNatOutTable>
Der notwendige Trafficlist-Eintrag für den IKE-Traffic (Protokoll: UDP / Port: 500) wird in der "ipsecTrafficTable" generiert. Diesen Eintrag können Sie im IPSec-Menü unter den "Pre IPSec Rules" sehen.
X1200II Setup Tool Bintec Communications AG
[IPSEC][PRE IPSEC TRAFFIC]: IPsec Configuration - Configure Traffic List X1200II
_______________________________________________________________________________
Highlight an entry and type 'i' to insert new entry below,
'u'/'d' to move up/down, 'a' to select as active traffic list
Local Address M/R Port Proto Remote Address M/R Port A Proposal
*0.0.0.0 M0 500 udp 0.0.0.0 M0 500 PA default
APPEND DELETE EXIT
_______________________________________________________________________________
[IPSEC][PRE IPSEC TRAFFIC]: IPsec Configuration - Configure Traffic List X1200II
_______________________________________________________________________________
Highlight an entry and type 'i' to insert new entry below,
'u'/'d' to move up/down, 'a' to select as active traffic list
Local Address M/R Port Proto Remote Address M/R Port A Proposal
*0.0.0.0 M0 500 udp 0.0.0.0 M0 500 PA default
APPEND DELETE EXIT
_______________________________________________________________________________
Auf weitere gesetzte Default Einstellungen soll hier nicht näher eingegangen werden.
4. Wie kann eine bereits bestehende IPSec-Konfiguration gelöscht werden?
Zum Löschen einer bereits bestehenden IPSec-Konfiguration gehen Sie wie folgt vor:
Wählen Sie im Setup Tool, unter IPSec, "Wizard" aus und bestätigen Sie mit <Enter>!
Bei "What to do?" bitte "clear config" auswählen und mit <Enter> bestätigen!
X1200 II Setup Tool Bintec Access Networks GmbH
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
What to do? clear config
NOTE: ipsecPublicKey table will *NOT* be cleared (<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
[IPSEC][WIZARD]: IPsec Configuration - Wizard Menu X1200II
_______________________________________________________________________________
IPsec 1st step configurations wizard
Configuration History:
What to do? clear config
NOTE: ipsecPublicKey table will *NOT* be cleared (<Space> to choose)
(<Return> to select)
Exit
_______________________________________________________________________________
Verlassen Sie mit <Exit> den Wizard!
Hiermit sind sämtliche IPSec-Konfigurationen und IPSec-Grundeinstellungen gelöscht. Einzige Ausnahme bilden hierbei die Einträge in der "ipsecPublicKeyTable". Diese werden nicht über den Wizard gelöscht. In dieser Tabelle existieren jedoch nur dann Einträge, wenn Sie mit Zertifikaten arbeiten, d.h. die Tabelle ist leer, wenn Sie Preshared Keys verwenden. Die Public-Key Einträge können manuell über das IPSec-Menü "[IPSEC][CERTMGMT][KEYS]: IPsec Configuration - Configure Keys" oder direkt in der "ipsecPublicKeyTable" gelöscht werden.
Hiermit ist die IPSec-Konfiguration komplett gelöscht.
jk
Hiermit sind sämtliche IPSec-Konfigurationen und IPSec-Grundeinstellungen gelöscht. Einzige Ausnahme bilden hierbei die Einträge in der "ipsecPublicKeyTable". Diese werden nicht über den Wizard gelöscht. In dieser Tabelle existieren jedoch nur dann Einträge, wenn Sie mit Zertifikaten arbeiten, d.h. die Tabelle ist leer, wenn Sie Preshared Keys verwenden. Die Public-Key Einträge können manuell über das IPSec-Menü "[IPSEC][CERTMGMT][KEYS]: IPsec Configuration - Configure Keys" oder direkt in der "ipsecPublicKeyTable" gelöscht werden.
Hiermit ist die IPSec-Konfiguration komplett gelöscht.
jk