Diese Anleitung zeigt schrittweise die IPSec Konfiguration an einem Bintec Router, um eine sichere Verbindung zwischen einer Filiale und einer Zentrale zu ermöglichen (Beispiel mit Image 7.1.12p1 IPSec). Als Authentifizierung wird Preshared Keys verwendet.
VPN-IPSec
IPSec LAN zu LAN Verbindung mit Interface Peers
1.Szenario
In diesem Beispiel ist der X4000 über das en1-Interface mit einer "Internet Festverbindung mit fester IP-Adresse" verbunden. Die feste offizielle IP-Adresse des X4000 lautet: 62.62.62.6 (Gateway=62.62.62.1). Die Anbindung der Filiale an das Internet erfolgt über einen T-DSL Anschluß. Der X1200 II erhält über das WAN-Interface dynamisch eine offizielle IP-Adresse vom Provider.
Voraussetzungen:
Sowohl der X4000 als auch der X1200 II benötigen eine gültige IPSec-Lizenz sowie ein aktuelles IPSec-Bootimage ab Version 7.1.1.
Voraussetzungen:
Sowohl der X4000 als auch der X1200 II benötigen eine gültige IPSec-Lizenz sowie ein aktuelles IPSec-Bootimage ab Version 7.1.1.
2. Konfiguration X4000: Routing
IP-Adresse für Interface en1 (62.62.62.6) und en4-0 (192.168.0.1) konfigurieren. Default Route am en1-Interface über Gateway: 62.62.62.1 konfigurieren. Eine Kontrolle ist mit dem Kommando "netstat -r" möglich.
x4000:> netstat -r
Typ Destination Netmask Gateway Metric Interface Proto
LOC 62.62.62.0 255.255.255.248 62.62.62.6 0 en1 local
DEF default 62.62.62.1 1 en1 local
LOC 192.168.0.0 255.255.255.0 192.168.0.1 0 en4-0 local
x4000:>
Typ Destination Netmask Gateway Metric Interface Proto
LOC 62.62.62.0 255.255.255.248 62.62.62.6 0 en1 local
DEF default 62.62.62.1 1 en1 local
LOC 192.168.0.0 255.255.255.0 192.168.0.1 0 en4-0 local
x4000:>
3. Konfiguration X4000: IPSec Grundkonfiguration
Bei Erstaufruf des IPSec-Menüs, d.h. der Router befindet sich im Auslieferungszustand und die notwendigen IPSec-spezifischen Einstellungen sind nicht vorhanden, wird vor dem Öffnen des eigentlichen IPSec-Konfigurationsmenüs der IPSec-Wizard gestartet. Der IPSec-Wizard dient zur automatisierten Erstellung einiger notwendiger IPSec-Grundeinstellungen und zur Grundkonfiguration eines IPSec-Peers. Jede weitere Konfiguration (weitere IPSec-Peers oder Detaileinstellungen) muss dann über das eigentliche IPSec-Menü konfiguriert werden.
Weitere Informationen dazu finden Sie unter dem folgenden Link:
IPsec Erstkonfiguration mit dem Setup IPSec Wizard ab Version 7.1.1
Weitere Informationen dazu finden Sie unter dem folgenden Link:
IPsec Erstkonfiguration mit dem Setup IPSec Wizard ab Version 7.1.1
4. Konfiguration X4000: IPSec Konfiguration im Hauptmenü
BINTEC-X4000 Setup Tool Bintec Communications AG
[IPSEC]: IPsec Configuration - Main Menu X4000
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Enable IPSec : yes
Pre IPSec Rules >
Configure Peers >
Post IPSec Rules >
IKE (Phase 1) Defaults *autogenerated* edit >
IPsec (Phase 2) Defaults *autogenerated* edit >
Certificate and Key Management >
Advanced Settings >
Wizard >
Monitoring >
SAVE CANCEL
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
[IPSEC]: IPsec Configuration - Main Menu X4000
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Enable IPSec : yes
Pre IPSec Rules >
Configure Peers >
Post IPSec Rules >
IKE (Phase 1) Defaults *autogenerated* edit >
IPsec (Phase 2) Defaults *autogenerated* edit >
Certificate and Key Management >
Advanced Settings >
Wizard >
Monitoring >
SAVE CANCEL
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Zuerst wird das Profil in der Phase 1 konfiguriert.
X4100 Setup Tool BinTec Communications AG
[IPSEC][PHASE1][EDIT] X4000
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 2 (DES3/MD5)
Lifetime : use default
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Heartbeats : both
Block Time : 0
Local ID : X4000
Local Certificate : none
CA Certificates :
Nat-Traversal : disabled
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PHASE1][EDIT] X4000
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 2 (DES3/MD5)
Lifetime : use default
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Heartbeats : both
Block Time : 0
Local ID : X4000
Local Certificate : none
CA Certificates :
Nat-Traversal : disabled
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
Im nächsten Schritt wird das Profil der Phase 2 konfiguriert.
X4100 Setup Tool BinTec Communications AG
[IPSEC][PHASE2][EDIT] X4000
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 2 (ESP(DES3/MD5) no Comp)
Lifetime : 900 Sec/11000 Kb (1)
Use PFS : group 2 (1024 bit MODP)
Heartbeats : both
Propagate PMTU : yes
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PHASE2][EDIT] X4000
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 2 (ESP(DES3/MD5) no Comp)
Lifetime : 900 Sec/11000 Kb (1)
Use PFS : group 2 (1024 bit MODP)
Heartbeats : both
Propagate PMTU : yes
View Proposals >
Edit Lifetimes >
SAVE CANCEL
_______________________________________________________________________________
5. Konfiguration X4000: IPSec Peerkonfiguration
BINTEC-X4000 Setup Tool BinTec Communications AG
[IPSEC][PEERS][EDIT]: Configure Peer X4000
_______________________________________________________________________________
Description: X1200II
Admin Status: up Oper Status: dormant
Peer Address:
Peer IDs: X1200II
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT]: Configure Peer X4000
_______________________________________________________________________________
Description: X1200II
Admin Status: up Oper Status: dormant
Peer Address:
Peer IDs: X1200II
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
Im Aggressive-Modus sind die Parameter "PeerId", "LocalId" und "PreSharedKey" wichtig, da diese zur Authentifizierung des Peers benutzt werden. Weitere Informationen zu den Parametern finden Sie in der MIB Reference für IPSec. Die Route zur Filiale wird unter Interface IP Settings -> Basic IP-Settings konfiguriert.
BINTEC-X4000 Setup Tool Bintec Communications AG
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings X4000
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
IP Transit Network no
Local IP Address 192.168.0.1
Default Route no
Remote IP Address 192.168.200.0
Remote Netmask 255.255.255.0
SAVE CANCEL
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings X4000
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
IP Transit Network no
Local IP Address 192.168.0.1
Default Route no
Remote IP Address 192.168.200.0
Remote Netmask 255.255.255.0
SAVE CANCEL
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Jetzt ist der Peer nach dem virtuellen Interface Konzept konfiguriert.
6. Konfiguration X1200 II: Routing
IP-Adresse für Interface en1 konfigurieren. Eine Default Route muß über das WAN-Interface T-DSL konfiguriert werden.
x1200II:> netstat -r
Typ Destination Netmask Gateway Metric Interface Proto
LOC 192.168.200.0 255.255.255.0 192.168.200.1 0 en1 local
DEF default 0.0.0.0 1 T-DSL local
LOC 212.185.251.109 255.255.255.255 212.185.228.147 0 T-DSL other
x1200II:>
Typ Destination Netmask Gateway Metric Interface Proto
LOC 192.168.200.0 255.255.255.0 192.168.200.1 0 en1 local
DEF default 0.0.0.0 1 T-DSL local
LOC 212.185.251.109 255.255.255.255 212.185.228.147 0 T-DSL other
x1200II:>
7. Konfiguration X1200 II: IPSec Grund- und Peerkonfiguration
Die IPSec Grundkonfiguration erfolgt analog zum X4000. Die Profile für die Phase 1+2 müssen bis auf die Anpassung der Local ID exakt übereinstimmen. Die Peerkonfiguration stellt sich folgendermaßen dar.
X1200 II Setup Tool BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT]: Configure Peer X1200II
_______________________________________________________________________________
Description: X4000
Admin Status: up Oper Status: dormant
Peer Address: 62.62.62.6
Peer IDs: X4000
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT]: Configure Peer X1200II
_______________________________________________________________________________
Description: X4000
Admin Status: up Oper Status: dormant
Peer Address: 62.62.62.6
Peer IDs: X4000
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
Die Route zum LAN der Zentrale wird unter Interface IP Settings -> Basic IP-Settings konfiguriert.
X1200 II Setup Tool BinTec Access Networks GmbH
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings (X4000) X1200II
_______________________________________________________________________________
IP Transit Network no
Local IP Address 192.168.200.1
Default Route no
Remote IP Address 192.168.0.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings (X4000) X1200II
_______________________________________________________________________________
IP Transit Network no
Local IP Address 192.168.200.1
Default Route no
Remote IP Address 192.168.0.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
Jetzt ist der Peer nach dem virtuellen Interface Konzept konfiguriert.
Hinweis:
Den Parameter "ipsecGlobMaxSysLogLevel" sollten Sie von „error“ auf „debug“ ändern. Damit werden nach der Eingabe des Kommandos "debug all&" die IPSec Meldungen vom Bintec Router an der Konsole ausführlicher ausgegeben. Diese Meldungen sind bei der Fehlersuche recht hilfreich.
jk
Den Parameter "ipsecGlobMaxSysLogLevel" sollten Sie von „error“ auf „debug“ ändern. Damit werden nach der Eingabe des Kommandos "debug all&" die IPSec Meldungen vom Bintec Router an der Konsole ausführlicher ausgegeben. Diese Meldungen sind bei der Fehlersuche recht hilfreich.
jk