Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Transkript

1 IPSec Verbindung zwischen Watchguard und Bintec IPSec zwischen Watchguard und X auf beiden Seiten statische IP-Adressen IP: IPSec-Tunnel IP: Internet IP: IP: Watchguard Firebox Bintec X1200 Das obige Szenario zeigt eine IPSEC Verbindung zwischen einer Watchguard Firewall und einem Bintec X1200 Router. Beide Seiten haben eine statische IP Adresse. Als erstes konfigurieren Sie den X1200. Sie legen einen Peer an, den wir hier Watchguard genannt haben. Bei Peer Address geben Sie die Ip-Adresse der Gegenseite an. Da wir die Identifikation über die IP-Adresse laufen lassen, geben Sie auch bei Peer-ID die IP- Adresse an. Bei Pre-Shared-Key geben Sie das Passwort an, das Sie auf beiden Seiten definieren müssen. Als nächstes fügen Sie eine Traffic List hinzu, die die Netze Lokal und Remote angibt, die Verschlüsselt übertragen werden sollen. [IPSEC][PEERS][EDIT]: IPsec Configuration - Configure Peer List X1200 Description: Watchguard Peer Address: Peer IDs: Pre Shared Key:* Special Settings > Traffic List: Highlight an entry and type 'i' to insert new entry below, 'u'/'d' to move up/down, 'a' to select as active traffic list Local Address M/R Port Proto Remote Address M/R Port A Proposal * M24 - all M24 - PR default APPEND DELETE SAVE CANCEL Enter string, max length = 255 chars 1

2 Für die Phase 1 der IKE Aushandlung stellen Sie Triple DES mit SHA1 ein. Gleichzeitig wählen Sie Group 1 (768bit) und den Modus ID_Protect. Bei Local-ID wird die statische IP Adresse eingetragen. [IPSEC][PHASE 1]: IPsec Configuration - Phase 1 (IKE) Settings X1200 Proposal : 6 (DES3/SHA1) Lifetime : 900 Sec/0 Kb (def) Group : 1 ( 768 bit MODP) Authentication Method : Pre Shared Keys Mode : id_protect Local ID : Local Certificate : none View Proposals > Edit Lifetimes > SAVE CANCEL Use <Space> to select Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1. [IPSEC][PHASE 2]: IPsec Configuration - Phase 2 Settings X1200 Proposal: Lifetime: Use PFS : 7 (ESP(DES3/SHA1) no Comp) 900 Sec/0 Kb (def) no View Proposals > Edit Lifetimes > SAVE CANCEL Use <Space> to select 2

3 Bei der Watchguard Firewall legen Sie als erstes ein Remote Gateway an, das wir hier Remote genannt haben. Die Remote Identifikation läuft über Ip-Adresse. Das Gateway ist die offizielle IP-Adresse der X1200. Den Pre-Shared-Key, den wir hier >bintec< genannt haben ist das frei wählbare Passwort das Sie auf beiden Seiten definieren. Die Local-ID für Phase 1 ist die IP-Adresse. Die Verschlüsselung ist 3DES mit SHA1 als Authentication. Nach der Konfiguration des Gateways müssen Sie einen Tunnel anlegen. Hier ebenfalls mit dem Namen Remote. 3

4 Für den Tunnel selber, also Phase 2, stellen Sie bitte ESP als Protokoll ein und die Verschlüsselung ist 3DES mit SHA1 als Authentication. Als nächsten Punkt müssen Sie auf der Watchguard die Routing Richtlinien konfigurieren. Hier geben Sie die beiden Netze an, die für die Verschlüsselung vorgesehen sind. Bei Tunnel geben Sie den zugehörigen Phase 2 Tunnel an den Sie erstellt haben. 4

5 Hier sehen Sie die Debugmeldungen auf einer X1200 bei einem Verbindungsaufbau mit IPSEC: 17:39:37 DEBUG/IPSEC: Phase-1 [initiator] between ipv4(udp:500,[0..3]= ) and unknown(any:0,[0..0]=) for peer 0, traffic 0 failed; Invalid Cookie. 17:39:38 DEBUG/IPSEC: Phase-1 [initiator] between ipv4(udp:500,[0..3]= ) and unknown(any:0,[0..0]=) for peer 0, traffic 0 failed; Invalid Cookie. 17:41:00 DEBUG/IPSEC: Phase-1 [responder] between ipv4(udp:500,[0..3]= ) and ipv4(udp:500,[0..3]= ) for peer 1, traffic 2 done. 17:41:00 DEBUG/IPSEC: Phase-2 [responder] done bundle 1 with 2 SA's by rule 3:`i psec ipv4_subnet(any:0,[0..7]= /24)<->ipv4_subnet(any:0,[0..7]= /24)(gw:ipv4(any:0,[0..3]= ))' 17:41:00 DEBUG/IPSEC: SA ESP[84d1ea58] alg [3des-cbc/24]+hmac[hmac-sha1-96] src= ipv4_subnet(any:0,[0..7]= /24) dst=ipv4_subnet(any:0,[0..7]= /24) peer 1 traffic 2 17:41:00 DEBUG/IPSEC: opts in tunnel responder. bundle [1,0] pri 0 17:41:00 DEBUG/IPSEC: tnsrc=ipv4(any:0,[0..3]= ) tndst=ipv4(any:0, [0..3]= ) 17:41:00 DEBUG/IPSEC: life soft(77760 sec/7371 kb) hard(86400 sec/8192 kb) 17:41:00 DEBUG/IPSEC: SA ESP[3045f3f] alg [3des-cbc/24]+hmac[hmac-sha1-96] src=i pv4_subnet(any:0,[0..7]= /24) dst=ipv4_subnet(any:0,[0..7]= /24) peer 1 traffic 2 17:41:00 DEBUG/IPSEC: opts out tunnel responder. bundle [1,0] pri 0 17:41:00 DEBUG/IPSEC: tnsrc=ipv4(any:0,[0..3]= ) tndst=ipv4(any: 0,[0..3]= ) 17:41:00 DEBUG/IPSEC: life soft(82080 sec/7780 kb) hard(86400 sec/8192 kb) Hier sehen Sie die Debugmeldungen auf einer Watchguard Firewall bei einem Verbindungsaufbau mit IPSEC: 18/09/02 12:24 iked[4339]: FROM MM-HDR ISA_SA ISA_VENDORID 18/09/02 12:24 iked[4339]: spi size of 8 in phase 1 18/09/02 12:24 iked[4339]: TO MM-HDR ISA_SA 18/09/02 12:24 iked[4339]: FROM MM-HDR ISA_KE ISA_NONCE 18/09/02 12:24 iked[4339]: TO MM-HDR ISA_KE ISA_NONCE 18/09/02 12:24 iked[4339]: CRYPTO ACTIVE after delay 18/09/02 12:24 iked[4339]: FROM MM-HDR* ISA_ID ISA_HASH ISA_NOTIFY 18/09/02 12:24 iked[4339]: Received INITIAL_CONTACT message, mess_id=0x /09/02 12:24 iked[4339]: TO MM-HDR* ISA_ID ISA_HASH 18/09/02 12:24 iked[4339]: FROM QM-HDR*-EB13F57E ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 18/09/02 12:24 iked[4339]: TO QM-HDR*-EB13F57E ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 18/09/02 12:24 iked[4339]: FROM QM-HDR*-EB13F57E ISA_HASH 18/09/02 12:24 iked[4339]: Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=900sec/0KB SPI=0A /09/02 12:24 iked[4339]: Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=900sec/0KB SPI=0404D737 18/09/02 12:24 iked[4339]: Tunnel created for /24 <-> /24 09/18/02 12:24 kernel: ipsec: make bundle for channel 6, 1 in SA's, 1 out SA's 5

6 IPSec zwischen Watchguard und X auf Seiten der Watchguard statische IP-Adresse - auf Seiten der x1200 dynamische IP-Adresse mit Dyndns IP: IPSec-Tunnel IP: dynamisch remote.dyndns.org Internet IP: IP: Watchguard Firebox Bintec X1200 Das obige Szenario zeigt eine IPSEC Verbindung zwischen einer Watchguard Firewall und einem Bintec X1200 Router. Die Watchguard hat eine statische IP Adresse, der X1200 eine Dynamische. Der X1200 nutzt den Dyndns Namen remote.dyndns.org. Als erstes konfigurieren Sie den X1200. Sie legen einen Peer an, den wir hier Watchguard genannt haben. Bei Peer Address geben Sie die Ip-Adresse der Gegenseite an. Da wir die Identifikation der Remote Seite über die IP-Adresse laufen lassen, geben Sie auch bei Peer-ID die IP-Adresse an. Bei Pre-Shared-Key geben Sie das Passwort an, das Sie auf beiden Seiten definieren müssen. Als nächstes fügen Sie eine Traffic List hinzu, die das Lokale und Remote Netz angibt, die Verschlüsselt übertragen werden sollen. [IPSEC][PEERS][EDIT]: IPsec Configuration - Configure Peer List X1200 Description: Watchguard Peer Address: Peer IDs: Pre Shared Key:* Special Settings > Traffic List: Highlight an entry and type 'i' to insert new entry below, 'u'/'d' to move up/down, 'a' to select as active traffic list Local Address M/R Port Proto Remote Address M/R Port A Proposal * M24 - all M24 - PR default APPEND DELETE SAVE CANCEL Enter string, max length = 255 chars 6

7 Für die Phase 1 der IKE Aushandlung stellen Sie Triple DES mit SHA1 ein. Gleichzeitig wählen Sie Group 1 (768bit) und den Modus aggressive, da wir hier mit mindestens einer dynamischen IP-Adresse arbeiten. Bei Local-ID wird der Dyndns Namen angegeben der zur Identifikation genutzt wird. [IPSEC][PHASE 1]: IPsec Configuration - Phase 1 (IKE) Settings X1200 Proposal : 6 (DES3/SHA1) Lifetime : 900 Sec/0 Kb (def) Group : 1 ( 768 bit MODP) Authentication Method : Pre Shared Keys Mode : aggressive Local ID : remote.dyndns.org Local Certificate : none View Proposals > Edit Lifetimes > SAVE CANCEL Use <Space> to select Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1. [IPSEC][PHASE 2]: IPsec Configuration - Phase 2 Settings X1200 Proposal: Lifetime: Use PFS : 7 (ESP(DES3/SHA1) no Comp) 900 Sec/0 Kb (def) no View Proposals > Edit Lifetimes > SAVE CANCEL Use <Space> to select 7

8 Bei der Watchguard Firewall legen Sie als erstes ein Remote Gateway an, das wir hier Remote genannt haben. Die Remote Identifikation läuft über den Domainname. Das Gateway ist der Dyndns Name der X1200. Den Pre-Shared-Key, den wir hier >bintec< genannt haben ist das frei wählbare Passwort das Sie auf beiden Seiten definieren. Die Local-ID für Phase 1 ist die IP-Adresse. Die Verschlüsselung ist 3DES mit SHA1 als Authentication. Zusätzlich muss der Aggessive Mode eingestellt werden, da wir hier mit Dynamischen IP-Adressen arbeiten. Nach der Konfiguration des Gateways müssen Sie einen Tunnel anlegen. Hier ebenfalls mit dem Namen Remote. 8

9 Für den Tunnel selber, also Phase 2, stellen Sie bitte ESP als Protokoll ein und die Verschlüsselung ist 3DES mit SHA1 als Authentication. Als nächsten Punkt müssen Sie auf der Watchguard die Routing Policy konfigurieren. Hier geben Sie die beiden Netze an, die für die Verschlüsselung vorgesehen sind. Bei Tunnel geben Sie den zugehörigen Phase 2 Tunnel an, den Sie erstellt haben. 9

10 Hier sehen Sie die Debugmeldungen auf einer X1200 bei einem Verbindungsaufbau mit IPSEC: 19:27:42 DEBUG/IPSEC: Received vendor id `da 8e ' from ipv4(udp :500,[0..3]= ) (server :500) 19:27:42 DEBUG/IPSEC: Phase-1 [initiator] between fqdn(udp:500,[0..15]=remote.dyn dns.org) and ipv4(udp:500,[0..3]= ) for peer 1, traffic 2 done. 19:27:42 DEBUG/IPSEC: Phase-2 [initiator] done bundle 2 with 2 SA's by rule 3:`i psec ipv4_subnet(any:0,[0..7]= /24)<->ipv4_subnet(any:0,[0..7]= /24)(gw:ipv4(any:0,[0..3]= ))' 19:27:42 DEBUG/IPSEC: SA ESP[403f8c95] alg [3des-cbc/24]+hmac[hmac-sha1-96] src= ipv4_subnet(any:0,[0..7]= /24) dst=ipv4_subnet(any:0,[0..7]= /24) peer 1 traffic 2 19:27:42 DEBUG/IPSEC: opts in tunnel initiator. bundle [2,0] pri 0 19:27:42 DEBUG/IPSEC: tnsrc=ipv4(any:0,[0..3]= ) tndst=ipv4(any:0, [0..3]= ) 19:27:42 DEBUG/IPSEC: life soft(720 sec/0 kb) hard(900 sec/0 kb) 19:27:42 DEBUG/IPSEC: SA ESP[ ] alg [3des-cbc/24]+hmac[hmac-sha1-96] src=i pv4_subnet(any:0,[0..7]= /24) dst=ipv4_subnet(any:0,[0..7]= /24) peer 1 traffic 2 19:27:42 DEBUG/IPSEC: opts out tunnel initiator. bundle [2,0] pri 0 19:27:42 DEBUG/IPSEC: tnsrc=ipv4(any:0,[0..3]= ) tndst=ipv4(any: 0,[0..3]= ) 19:27:42 DEBUG/IPSEC: life soft(765 sec/0 kb) hard(900 sec/0 kb) Hier sehen Sie die Debugmeldungen auf einer Watchguard Firewall bei einem Verbindungsaufbau mit IPSEC: 18/09/02 14:04 iked[6486]: FROM AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_VENDORID 18/09/02 14:04 iked[6486]: spi size of 8 in phase 1 18/09/02 14:04 iked[6486]: TO AG-HDR ISA_SA ISA_KE ISA_NONCE ISA_ID ISA_HASH ISA_VENDORID 18/09/02 14:04 iked[6486]: CRYPTO ACTIVE after delay 18/09/02 14:04 iked[6486]: FROM AG-HDR ISA_HASH ISA_NOTIFY 18/09/02 14:04 iked[6486]: Received INITIAL_CONTACT message, mess_id=0x /09/02 14:04 iked[6486]: Ending phase1 as RESPONDER 18/09/02 14:04 iked[6486]: FROM QM-HDR*-7F0E0FF3 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 18/09/02 14:04 iked[6486]: TO QM-HDR*-7F0E0FF3 ISA_HASH ISA_SA ISA_NONCE ISA_ID ISA_ID 18/09/02 14:05 iked[6486]: FROM QM-HDR*-7F0E0FF3 ISA_HASH 18/09/02 14:05 iked[6486]: Load outbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=900sec/0KB SPI=403F8C95 18/09/02 14:05 iked[6486]: Load inbound ESP SA, Algs=ESP_3DES/AUTH_ALG_HMAC_SHA1 Life=900sec/0KB SPI= /09/02 14:05 iked[6486]: Tunnel created for /24 <-> /24 09/18/02 14:05 kernel: ipsec: make bundle for channel 6, 1 in SA's, 1 out SA's 10