Kategorie: VPN-IPSec
IPSec Konfiguration mit dem FCI am R232bw und dem Setup Tool am R1200
Diese FAQ beschreibt eine IPSec Verbindung zwischen einem R232bw mit der FCI Software 7.4.4 patch 2 und einem R1200 mit Software Version 7.4.3 patch 5. Beide Seiten haben dynamische IP Adressen. Auf der Seite des R232bw wird die Konfiguration mit dem graphischen Funkwerk Configuration Interface (FCI) durchgeführt. Am R1200 wird das Setup Tool verwendet.
Szenario:
Vorraussetzung:
- Der R232bw verfügt über eine FCI Software Version ab 7.4.4 patch 2.
- Beide Router haben eine bestehende Internet Verbindung.
- Der DynDNS Account ist auf beiden Seiten up-to-date.
- Es werden unterschiedliche lokale IP Netzwerke verwendet
- Beide Router haben eine bestehende Internet Verbindung.
- Der DynDNS Account ist auf beiden Seiten up-to-date.
- Es werden unterschiedliche lokale IP Netzwerke verwendet
1. IPSec Konfiguration am R232bw:
1.1 Phase 1:
Wählen Sie das VPN Menü in der Navigationsleiste und klicken Sie anschließend auf IPSec.
Wählen Sie zunächst das Register Phase-1 Profiles und fügen dort mit new ein neues Profil hinzu, oder editieren Sie ein vorhandenes Profil. In diesem Fenster können Sie die Phase 1 (IKE) Einstellungen festlegen. Neben dem default Proposal (z. B. Blowfish/MD5) besteht auch die Möglichkeit zwei alternative IKE Proposals auszuwählen. DH Group und Lifetime sind in diesem Beispiel auf 2(1024bit) und 900sec/0Kbytes gestellt. Wegen der dynamischen öffentlichen IP Adressen muss der Mode auf Aggressive gesetzt werden. Die Local ID muss mit der Peer ID der Gegenstelle übereinstimmen. Für die ID können folgende Auswahlmöglichkeiten getroffen werden.
Type ID
Fully Qualified Domain Name (FQDN) Domain Name (z. B. R232bw)
Fully Qualified User Name Email Adresse (z. B. R232bw@test.de)
IPV4 Address IP Adresse
SN.1 Distinguished name Zertifikat
Im Advanced Settings Menü können Alive Check, Block Time and NAT Traversal ausgewählt werden.
Wählen Sie das VPN Menü in der Navigationsleiste und klicken Sie anschließend auf IPSec.
Wählen Sie zunächst das Register Phase-1 Profiles und fügen dort mit new ein neues Profil hinzu, oder editieren Sie ein vorhandenes Profil. In diesem Fenster können Sie die Phase 1 (IKE) Einstellungen festlegen. Neben dem default Proposal (z. B. Blowfish/MD5) besteht auch die Möglichkeit zwei alternative IKE Proposals auszuwählen. DH Group und Lifetime sind in diesem Beispiel auf 2(1024bit) und 900sec/0Kbytes gestellt. Wegen der dynamischen öffentlichen IP Adressen muss der Mode auf Aggressive gesetzt werden. Die Local ID muss mit der Peer ID der Gegenstelle übereinstimmen. Für die ID können folgende Auswahlmöglichkeiten getroffen werden.
Type ID
Fully Qualified Domain Name (FQDN) Domain Name (z. B. R232bw)
Fully Qualified User Name Email Adresse (z. B. R232bw@test.de)
IPV4 Address IP Adresse
SN.1 Distinguished name Zertifikat
Im Advanced Settings Menü können Alive Check, Block Time and NAT Traversal ausgewählt werden.
1.2 Phase 2:
Zum Hinzufügen der (IPSec) Phase 2 Einstellungen wählen Sie das Register Phase-2 Profiles und klicken auf new. Auch hier besteht die Möglichkeit zwei alternative Proposals einzustellen. Use PFS Group ist aktiviert und die Lifetime wurde auf 900 sec und 0 Kbyte gesetzt. Im Advanced Settings Menü ist der Alive Check auf Heartbeats (send & expect) gestellt und Propagate MTU wurde aktiviert.
1.3 Peer Konfiguration:
Nachdem die Phase 1 und Phase 2 Einstellungen abgeschlossen sind, können Sie nun den Peer konfigurieren. Der Administrative Status muss auf up stehen, damit der Peer aktiv ist. Geben Sie der Verbindung bei Description einen Namen. Im Peer Address Feld geben Sie die Adresse der Gegenstelle an (hier: DynDNS Account des R1200). Die Peer ID muss mit der Local ID der Gegenstelle übereinstimmen. Für die ID können folgende Auswahlmöglichkeiten getroffen werden:
Type ID
Fully Qualified Domain Name (FQDN) Domain Name (z. B. R232bw)
Fully Qualified User Name Email Adresse (z. B. R232bw@test.de)
IPV4 Address IP Adresse
SN.1 Distinguished name Zertifikat
Bei Pre Shared Key geben Sie ein Passwort für die verschlüsselte Verbindung ein (z. B. “test”). Bei Interface Routes werden die IP Einstellungen vorgenommen. Die Local IP ist die IP Adresse des LAN Interfaces des Routers und bei Remote IP Address/Netmask wird das Zielnetzwerk definiert. Falls weitere Zielnetzwerke über den Tunnel geroutet werden sollen, können diese mit add bei Route Entries hinzugefügt werden. Im Advanced Settings Menü können die zuvor angelegten Phase-1 und Phase-2 Profile ausgewählt werden. Advanced IP Options und IPSec Callback werden in diesem Fall nicht verwendet.
2. IPSec Konfiguration am R1200:
Die IPSec Konfiguration am R1200 wird mit dem Setup Tool durchgeführt. Falls Sie das IPSec Menü zum ersten mal auswählen werden Sie gefragt ob Sie den IPSec Wizard starten möchten. Bestätigen Sie yes and starten Sie den Wizard. Im nächsten Schritt werden Sie nach der default IPSec authentication method gefragt. Wählen Sie current: PSK und geben Sie anschließend Ihre Local ID (hier: R1200) an. Beenden Sie danach den Wizard mit Exit.
2.1 Phase 1:
Um die Phase 1 Einstellungen vorzunehmen wählen Sie edit > bei IKE (Phase 1) Defaults. In diesem Menü können Sie ein existierendes Profil (hier: autogenerated) editieren, oder ein neues mit ADD hinzufügen. Die Einstellungen müssen mit denen des R232bw übereinstimmen. Lediglich die Local ID unterscheidet sich. Wenn die Profilkonfiguration abgeschlossen ist bestätigen Sie mit SAVE und danach EXIT.
2.1 Phase 1:
Um die Phase 1 Einstellungen vorzunehmen wählen Sie edit > bei IKE (Phase 1) Defaults. In diesem Menü können Sie ein existierendes Profil (hier: autogenerated) editieren, oder ein neues mit ADD hinzufügen. Die Einstellungen müssen mit denen des R232bw übereinstimmen. Lediglich die Local ID unterscheidet sich. Wenn die Profilkonfiguration abgeschlossen ist bestätigen Sie mit SAVE und danach EXIT.
R1200 Setup Tool Funkwerk Enterprise Communications GmbH
[PHASE1][EDIT] r1200
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (Blowfish/MD5)
Lifetime Policy : Propose this lifetime, accept and use all proposals
Seconds: 900 KBytes: 0
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Alive Check : Dead-Peer-Detection (DPD), Idle Mode
Block Time : 10
Local ID : R1200
Local Certificate : none
CA Certificates :
Nat-Traversal : enabled
View Proposals >
SAVE CANCEL
_______________________________________________________________________________
[PHASE1][EDIT] r1200
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (Blowfish/MD5)
Lifetime Policy : Propose this lifetime, accept and use all proposals
Seconds: 900 KBytes: 0
Group : 2 (1024 bit MODP)
Authentication Method : Pre Shared Keys
Mode : aggressive
Alive Check : Dead-Peer-Detection (DPD), Idle Mode
Block Time : 10
Local ID : R1200
Local Certificate : none
CA Certificates :
Nat-Traversal : enabled
View Proposals >
SAVE CANCEL
_______________________________________________________________________________
2.2 Phase 2:
Für die Phase 2 Einstellungen wählen Sie edit > bei IPsec (Phase 2) Defaults. Entsprechend zum Phase 1 Profil können auch hier bestehende Profile (hier: autogenerated) editiert, oder ein neues hinzugefügt werden. Die Einstellungen müssen mit denen des R232bw übereinstimmen. Danach bestätigen Sie mit SAVE und EXIT.
R1200 Setup Tool Funkwerk Enterprise Communications GmbH
[PHASE2][EDIT] r1200
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (ESP(Blowfish/MD5) no Comp
Lifetime Policy : Propose this lifetime, accept and use all proposals
Seconds: 900 KBytes: 0
Use PFS : group 2 (1024 bit MODP)
Alive Check : Heartbeats (send and expect)
Propagate PMTU : yes
View Proposals >
SAVE CANCEL
_______________________________________________________________________________
[PHASE2][EDIT] r1200
_______________________________________________________________________________
Description (Idx 1) : *autogenerated*
Proposal : 1 (ESP(Blowfish/MD5) no Comp
Lifetime Policy : Propose this lifetime, accept and use all proposals
Seconds: 900 KBytes: 0
Use PFS : group 2 (1024 bit MODP)
Alive Check : Heartbeats (send and expect)
Propagate PMTU : yes
View Proposals >
SAVE CANCEL
_______________________________________________________________________________
2.3 Peer Konfiguration:
Nachdem die Phase 1 und Phase 2 Einstellungen abgeschlossen sind können Sie nun den Peer konfigurieren. Wählen Sie Configure Peers > um einen neuen IPSec Peer mit APPEND hinzuzufügen. Tragen Sie bei Description einen Namen für die Verbindung ein. Der DynDNS Account des R232bw der Gegenstelle muss im Peer Address Feld eingetragen werden. Die Peer ID muss mit der Local ID der Gegenstelle (hier: R232bw) übereinstimmen. Bei Pre Shared Key geben Sie das Passwort (hier: test) für die Verbindung ein, welches auch auf der Gegenseite eingetragen ist. IPSec Callback wird in diesem Szenario nicht verwendet. Die Phase 1 und Phase 2 Profile können unter Peer specific Settings ausgewählt werden (siehe 2.3.1). Um den Peer als virtuelles Interface zu konfigurieren (empfohlen) wählen Sie yes bei Virtual Interface. Die IP Einstellungen werden im Interface IP Settings Menü konfiguriert (siehe 2.3.2).
R1200 Setup Tool Funkwerk Enterprise Communications GmbH
[IPSEC][PEERS][EDIT]: Configure Peer r1200
_______________________________________________________________________________
Description: IPSec Test
Admin Status: up
Peer Address: test.dyndns.org
Peer IDs: R232bw
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT]: Configure Peer r1200
_______________________________________________________________________________
Description: IPSec Test
Admin Status: up
Peer Address: test.dyndns.org
Peer IDs: R232bw
Pre Shared Key: *
IPSec Callback >
Peer specific Settings >
Virtual Interface: yes
Interface IP Settings >
SAVE CANCEL
_______________________________________________________________________________
2.3.1 Peer specific Settings:
In diesem Menü können Sie das gewünschte IKE Phase 1 und IPsec Phase 2 Profil auswählen.
R1200 Setup Tool Funkwerk Enterprise Communications GmbH
[IPSEC][PEERS][EDIT][SPECIAL]: Special Settings (IPSec Test) r1200
_______________________________________________________________________________
Special settings for p1 IPSec Test
IKE (Phase 1) Profile: *autogenerated* edit >
IPsec (Phase 2) Profile: *autogenerated* edit >
Special Peer Type: None
Start Mode: On Demand
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT][SPECIAL]: Special Settings (IPSec Test) r1200
_______________________________________________________________________________
Special settings for p1 IPSec Test
IKE (Phase 1) Profile: *autogenerated* edit >
IPsec (Phase 2) Profile: *autogenerated* edit >
Special Peer Type: None
Start Mode: On Demand
SAVE CANCEL
_______________________________________________________________________________
2.3.2 Interface IP Settings:
Nachdem Sie Basic IP-Settings gewählt haben können Sie die LAN IP Adresse des Routers bei Local IP Address eingeben. Bei Remote IP Address/Remote Netmask geben Sie das Zielnetzwerk an.
R1200 Setup Tool Funkwerk Enterprise Communications GmbH
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings (IPSec Test) r1200
_______________________________________________________________________________
IP Transit Network no
Local IP Address 10.10.0.1
Default Route no
Remote IP Address 10.10.1.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
[IPSEC][PEERS][EDIT][IP][BASIC]: IP-Settings (IPSec Test) r1200
_______________________________________________________________________________
IP Transit Network no
Local IP Address 10.10.0.1
Default Route no
Remote IP Address 10.10.1.0
Remote Netmask 255.255.255.0
SAVE CANCEL
_______________________________________________________________________________
Falls weitere Zielnetzwerke über den Tunnel geroutet werden sollen, können diese im More Routing Menü hinzugefügt werden.
3. Test:
Starten Sie zunächst den Befehl debug all auf der Konsole des R1200. Im FCI des R232bw können Sie unter Maintenance und Diagnostics einen Ping Test zur lokalen IP Adresse des R1200 durchführen. Am R1200 können Sie nun die Debug Meldungen vom Verbindungsaufbau verfolgen.
r1200:> debug all&
01:15:46 DEBUG/INET: NAT: new incoming session on ifc 10001 prot 17 84.149.198.196:500/84.149.198.196:500 <- 88.65.214.63:1023
01:15:46 DEBUG/IPSEC: P1: peer 0 () sa 5 (R): new ip 84.149.198.196 <- ip 88.65.214.63
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'BINTEC'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'RFC XXXX'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
01:15:47 DEBUG/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): identified ip 84.149.198.196 <- ip 88.65.214.63
01:15:47 DEBUG/INET: NAT: new incoming session on ifc 10001 prot 17 84.149.198.196:4500/84.149.198.196:4500 <- 88.65.214.63:32779
01:15:47 DEBUG/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): notify id fqdn(any:0,[0..4]=R1200) <- id fqdn(any:0,[0..5]=R232bw) (unencrypted): Initial contact notification proto 1 spi(16) = [dc5149df 6581dc53 : 3bcf9789 1aa9372f]
01:15:47 DEBUG/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): [Aggr] NAT-T: port change: local: 84.149.198.196:500->84.149.198.196:4500, remote: 88.65.214.63:1023->88.65.214.63:32779
01:15:47 INFO/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): done id fqdn(any:0,[0..4]=R1200) <- id fqdn(any:0,[0..5]=R232bw) AG[dc5149df 6581dc53 : 3bcf9789 1aa9372f]
01:15:47 INFO/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): created 10.10.0.0/24:0 < any > 10.10.1.1/32:0 rekeyed 0
01:15:47 DEBUG/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): SA 7 established ESP[633ce918] in[0] Mode tunnel enc blowfish-cbc (128 bit) auth md5 (128 bit)
01:15:47 DEBUG/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): SA 8 established ESP[101370a7] out[0] Mode tunnel enc blowfish-cbc (128 bit) auth md5 (128 bit)
01:15:47 INFO/IPSEC: Activate Bundle 4 (Peer 1 Traffic -1)
01:15:47 INFO/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): established (84.149.198.196<->88.65.214.63) with 2 SAs life 900 Sec/0 Kb rekey 810 Sec/0 Kb Hb both PMTU
r1200:>
01:15:46 DEBUG/INET: NAT: new incoming session on ifc 10001 prot 17 84.149.198.196:500/84.149.198.196:500 <- 88.65.214.63:1023
01:15:46 DEBUG/IPSEC: P1: peer 0 () sa 5 (R): new ip 84.149.198.196 <- ip 88.65.214.63
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'BINTEC'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'RFC XXXX'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'
01:15:47 INFO/IPSEC: P1: peer 0 () sa 5 (R): Vendor ID: 88.65.214.63:1023 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
01:15:47 DEBUG/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): identified ip 84.149.198.196 <- ip 88.65.214.63
01:15:47 DEBUG/INET: NAT: new incoming session on ifc 10001 prot 17 84.149.198.196:4500/84.149.198.196:4500 <- 88.65.214.63:32779
01:15:47 DEBUG/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): notify id fqdn(any:0,[0..4]=R1200) <- id fqdn(any:0,[0..5]=R232bw) (unencrypted): Initial contact notification proto 1 spi(16) = [dc5149df 6581dc53 : 3bcf9789 1aa9372f]
01:15:47 DEBUG/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): [Aggr] NAT-T: port change: local: 84.149.198.196:500->84.149.198.196:4500, remote: 88.65.214.63:1023->88.65.214.63:32779
01:15:47 INFO/IPSEC: P1: peer 1 (IPSec Test) sa 5 (R): done id fqdn(any:0,[0..4]=R1200) <- id fqdn(any:0,[0..5]=R232bw) AG[dc5149df 6581dc53 : 3bcf9789 1aa9372f]
01:15:47 INFO/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): created 10.10.0.0/24:0 < any > 10.10.1.1/32:0 rekeyed 0
01:15:47 DEBUG/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): SA 7 established ESP[633ce918] in[0] Mode tunnel enc blowfish-cbc (128 bit) auth md5 (128 bit)
01:15:47 DEBUG/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): SA 8 established ESP[101370a7] out[0] Mode tunnel enc blowfish-cbc (128 bit) auth md5 (128 bit)
01:15:47 INFO/IPSEC: Activate Bundle 4 (Peer 1 Traffic -1)
01:15:47 INFO/IPSEC: P2: peer 1 (IPSec Test) traf 0 bundle 4 (R): established (84.149.198.196<->88.65.214.63) with 2 SAs life 900 Sec/0 Kb rekey 810 Sec/0 Kb Hb both PMTU
r1200:>
on