Kategorie: VPN - IPSec Client
Konfiguration eines IPSec Tunnels zwischen einem FEC Secure IPSec Client und einem bintec R232bw mit FCI
Diese FAQ beschreibt die Konfiguration eines IPSec Tunnels zwischen einem bintec R232bw Router (Software 7.5.1 Patch 5) und einem FEC Secure IPSec Client (Version 2.01 Build 45) über die grafische Konfigurationsoberfläche Funkwerk Configuration Interface (FCI).
1. Szenario
2. Voraussetzungen
- Der R232bw verfügt über eine FCI Software Version ab 7.4.4 Patch 4.
- Der Router und der Client haben eine aktive Internet Verbindung.
- Der Router ist über eine offizielle IP-Adresse oder über DynDNS erreichbar.
3. IPSec Konfiguration des Routers
Starten Sie Ihren Browser und loggen Sie sich auf dem Router ein. Wählen Sie den Menüpunkt VPN -> IPSec. Wählen Sie Phase-1-Profile aus, um ein Profil zu editieren bzw. neu zu erstellen.
Wählen Sie Phase-2-Profile aus, um ein Profil zu editieren bzw. neu zu erstellen.
Wählen Sie IPSec Peers um einen Peer zu editieren bzw. neu zu erstellen.
4. Konfiguration des FEC Secure IPSec Clients
Ein Assistent führt Sie durch die Konfiguration des IPSec Clients.
Geben Sie einen Namen für die Verbindung ein.
Wählen Sie das Verbindungsmedium.
Geben Sie die feste offizielle IP Adresse oder den DynDNS Namen der Gegenstelle ein.
Wählen Sie den IPSec Mode und die PFS-Gruppe.
Geben Sie den Pre-shared Key und die Lokale Identität ein.
Wir empfehlen die Benutzung der Option "Fully Qualified Username".
Wir empfehlen die Benutzung der Option "Fully Qualified Username".
Wählen Sie "IP-Adresse manuell vergeben" und tragen Sie die IP-Adresse (für den IPSec Client selbst) ein. Bitte beachten Sie, dass es keine Adresse aus dem lokalen Netzwerk des Routers sein darf.
Nun müssen noch die Phase 1 (IKE) und Phase 2 (IPSec) Parameter geändert werden. Dies erfolgt im Menü Konfiguration -> Profil-Einstellungen -> Konfigurieren -> IPSec-Einstellungen -> Editor. Dort muss jeweils für die IKE und IPSec Richtlinie mit folgenden Einstellungen ein neuer Eintrag anlegt bzw. angepasst werden.
Defaultmäßig sendet der Client alle Pakete in den Tunnel. Um dies zu ändern,muss die IP-Adresse des privaten (Ziel-)Netzes unter Konfiguration -> Profil-Einstellungen -> Konfigurieren -> VPN IP-Netze eingetragen werden.
5. Test
Wenn Ihre IPSec Verbindung zum Router erfolgreich aufgebaut wurde, sehen Sie die folgende Meldung am IPSec Client.
Um den Status der Verbindung zu überprüfen, wählen Sie den Menüpunkt Monitoring -> IPSec. Wenn die Verbindung aufgebaut ist, sehen Sie bei Status einen grünen Pfeil. Mit einem Klick auf die Lupe erhalten Sie detaillierte Informationen.
Um die Debug Meldungen des Verbindungsaufbaues zu überprüfen, können Sie im FCI unter Externe Berichterstellung -> Systemprotokoll einen Syslog Server konfigurieren. Meldungen im Beispiel:
INET.Debug INET: NAT: new incoming session on ifc 10001 prot 17 84.149.222.26:500/84.149.222.26:500 <- 212.14.95.34:50031
Accounting.Debug IPSEC: P1: peer 0 () sa 13 (R): new ip 84.149.222.26 <- ip 212.14.95.34 4.149.222.26:500 <- 212.14.95.34:50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'da8e937880010000'212.14.95.34:50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is '4a131c81070358455c5728f20e95452f' 31
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'cb1ed48b6d68269bb411b61a07bce23a')'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'c61baca1f1a60cc10800000000000000')'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d3c0000000'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is '12f5f28c457168a9702d9fe274cc0100' 000000'
Accounting.Debug IPSEC: P1: peer 1 (Peer-1) sa 13 (R): identified ip 84.149.222.26 <- ip 212.14.95.34168a9702d9fe274cc0100' 000000'
Accounting.Debug IPSEC: P1: peer 1 (Peer-1) sa 13 (R): notify id fqdn(any:0,[0..8]=r232bw_MF) <- id usr@fqdn(any:0,[0..17]=benutzer@domain.de): Initial contact notification proto 1 spi(16) = [7f932eee 91e42e2b : dddf962a a5b352a4]
Accounting.Debug IPSEC: P1: peer 1 (Peer-1) sa 13 (R): [Aggr] NAT-T: port change: local: 84.149.222.26:500->84.149.222.26:4500, remote: 212.14.95.34:50031->212.14.95.34:48945oto 1 spi(16) = [7f932eee 91e42e2b : dddf962a a5b352a4]
Accounting.Information IPSEC: P1: peer 1 (Peer-1) sa 13 (R): done id fqdn(any:0,[0..8]=r232bw_MF) <- id usr@fqdn(any:0,[0..17]=benutzer@domain.de) AG[7f932eee 91e42e2b : dddf962a a5b352a4]i(16) = [7f932eee 91e42e2b : dddf962a a5b352a4]
Accounting.Information IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): created 192.168.100.0/24:0 < any > 100.100.100.100/32:0 rekeyed 0
Accounting.Debug IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): SA 25 established ESP[34b3eb72] in[0] Mode tunnel enc aes-cbc (128 bit) auth md5 (128 bit)
Accounting.Debug IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): SA 26 established ESP[0b0ac6c7] out[0] Mode tunnel enc aes-cbc (128 bit) auth md5 (128 bit)
Accounting.Information IPSEC: Activate Bundle 13 (Peer 1 Traffic -1)): SA 26 established ESP[0b0ac6c7] out[0] Mode tunnel enc aes-cbc (128 bit) auth md5 (128 bit)
Accounting.Information IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): established (84.149.222.26<->212.14.95.34) with 2 SAs life 28800 Sec/0 Kb rekey 25920 Sec/0 Kb Hb none PMTU
Accounting.Debug IPSEC: P1: peer 0 () sa 13 (R): new ip 84.149.222.26 <- ip 212.14.95.34 4.149.222.26:500 <- 212.14.95.34:50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'da8e937880010000'212.14.95.34:50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'draft-ietf-ipsec-nat-t-ike-03'50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'draft-ietf-ipsec-nat-t-ike-02'50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'draft-ietf-ipsec-nat-t-ike-00'50031
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is '4a131c81070358455c5728f20e95452f' 31
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'Dead Peer Detection (DPD, RFC 3706)'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'cb1ed48b6d68269bb411b61a07bce23a')'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is 'c61baca1f1a60cc10800000000000000')'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is '4048b7d56ebce88525e7de7f00d6c2d3c0000000'
Accounting.Information IPSEC: P1: peer 0 () sa 13 (R): Vendor ID: 212.14.95.34:50031 (No Id) is '12f5f28c457168a9702d9fe274cc0100' 000000'
Accounting.Debug IPSEC: P1: peer 1 (Peer-1) sa 13 (R): identified ip 84.149.222.26 <- ip 212.14.95.34168a9702d9fe274cc0100' 000000'
Accounting.Debug IPSEC: P1: peer 1 (Peer-1) sa 13 (R): notify id fqdn(any:0,[0..8]=r232bw_MF) <- id usr@fqdn(any:0,[0..17]=benutzer@domain.de): Initial contact notification proto 1 spi(16) = [7f932eee 91e42e2b : dddf962a a5b352a4]
Accounting.Debug IPSEC: P1: peer 1 (Peer-1) sa 13 (R): [Aggr] NAT-T: port change: local: 84.149.222.26:500->84.149.222.26:4500, remote: 212.14.95.34:50031->212.14.95.34:48945oto 1 spi(16) = [7f932eee 91e42e2b : dddf962a a5b352a4]
Accounting.Information IPSEC: P1: peer 1 (Peer-1) sa 13 (R): done id fqdn(any:0,[0..8]=r232bw_MF) <- id usr@fqdn(any:0,[0..17]=benutzer@domain.de) AG[7f932eee 91e42e2b : dddf962a a5b352a4]i(16) = [7f932eee 91e42e2b : dddf962a a5b352a4]
Accounting.Information IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): created 192.168.100.0/24:0 < any > 100.100.100.100/32:0 rekeyed 0
Accounting.Debug IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): SA 25 established ESP[34b3eb72] in[0] Mode tunnel enc aes-cbc (128 bit) auth md5 (128 bit)
Accounting.Debug IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): SA 26 established ESP[0b0ac6c7] out[0] Mode tunnel enc aes-cbc (128 bit) auth md5 (128 bit)
Accounting.Information IPSEC: Activate Bundle 13 (Peer 1 Traffic -1)): SA 26 established ESP[0b0ac6c7] out[0] Mode tunnel enc aes-cbc (128 bit) auth md5 (128 bit)
Accounting.Information IPSEC: P2: peer 1 (Peer-1) traf 0 bundle 13 (R): established (84.149.222.26<->212.14.95.34) with 2 SAs life 28800 Sec/0 Kb rekey 25920 Sec/0 Kb Hb none PMTU
mf