HowTo IPSec Roadwarrior mit PSK



Ähnliche Dokumente
Konfiguration eines Lan-to-Lan VPN Tunnels

Autor: St. Dahler. Für Phase 2, der eigentlichen Verschlüsselung der Daten stellen Sie das ESP Protokoll ein mit der Verschlüsselung DES3 und SHA1.

Konfiguration eines Lan-to-Lan VPN Tunnels

IPSec-VPN mit Software-Client. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3516 August Studerus AG

Site-To-Site VPN Anleitung IAAS Smart <-> IAAS Premium. Version: 1.0

HowTo SoftEther VPN Server (global)

HowTo SoftEther Site-2-Site (Client-Bridge)

VPN in 5 Minuten. bintec VPN Gateway. Konfigurationsanleitung für den FEC VPN Testzugang

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

HowTo: Einrichtung von L2TP over IPSec VPN

1. IPsec Verbindung zwischen Gateway und IPsec Client - Host

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

VPN Tracker für Mac OS X

1. IPsec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Knowledge Base IPSec-Tunnel zwischen Fortigate und Draytek Vigor

Dynamisches VPN mit FW V3.64

In meinem Beitrag "Einrichten eines 6in4 static Tunnels mit SIXXS unter Linux" habe ich beschrieben, wie man einen IPv6 Tunnel einrichtet.

Anleitung zur Einrichtung eines Lan-to-Lan Tunnels zwischen einen DI-804HV und einer DSR (Für DI-804HV ab Firmware 1.44b06 und DSR-250N/500N/1000N)

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

NCP Exclusive Remote Access Client (ios) Release Notes

Das Netzwerk von Docker. Java Stammtisch Goettingen

VPN mit ZyXEL IPSec-Client. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Firmware V2.2x 3.x. August 2012 / ALN

Wortmann AG. Terra Black Dwraf

Konfigurationsbeispiel USG & ZyWALL

Firewall oder Router mit statischer IP

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

HowTo SoftEther VPN Server (global)

DI-804HV / DI-824VUP+ und D-LINK VPN Client

Konfigurationsanleitung IPsec mit ISDN Backup und statischen IP-Adressen Funkwerk / Bintec

Netzwerk Teil 2 Linux-Kurs der Unix-AG

Dynamisches VPN mit FW V3.64

1. IPsec Verbindung mit Übertragung der IP-Adresse im D-/B-Kanal

Konfigurationsanleitung IPsec mit ISDN Backup und dynamischen IP-Adressen Funkwerk / Bintec

BinTec X-Generation Router IPSec Security Pack 6.3.4

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

NCP Secure Enterprise Client (ios) Release Notes

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

NCP Secure Entry macos Client Release Notes

Firewalls mit Iptables

1. IPsec Verbindung mit Übertragung der IP-Adresse im D-/B-Kanal

Konfigurationsanleitung IPSec Verbindung mit Provider Backup Funkwerk / Bintec. Copyright 5. September 2008 Neo-One Stefan Dahler Version 1.

D-Link VPN-IPSEC Test Aufbau

Konfigurationsbeispiel

ALL7007 VPN-Tunnel Musterkonfiguration zwischen zwei ALL7007 über dynamische IP-Adressen mit PPPoE

HOBLink VPN 2.1 Gateway

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

VPN / IPSec Verbindung mit dem DI 804 HV und dem SSH Sentinel

Astaro Security Gateway

6. Konfiguration von Wireless LAN mit WPA PSK. 6.1 Einleitung

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

1IPSEC ZWISCHEN 2 GATEWAYS MIT ZERTIFIKATEN

Firewall Implementierung unter Mac OS X

Internet-Praktikum II Lab 3: Virtual Private Networks (VPN)

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit?

Konfigurationsanleitung Access Control Lists (ACL) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.0.

Anbindung einem ALL-VPN20

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Konfiguration einer Firewall mit FireHOL

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Konfiguration VPN Router

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

Port-Weiterleitung einrichten

Dieses Dokument beschreibt die häufigsten Ursachen für VPN-Verbindungsprobleme.

Collax Windows-L2TP/IPsec VPN Howto

Konfigurationsanleitung IPsec mit ISDN Backup und dynamischen IP-Adressen Funkwerk / Bintec

Security Associations Schlüsseltausch IKE Internet Key Exchange Automatischer Schlüsseltausch und Identitätsnachweis

Windows 7 mittels Shrew Soft VPN Client per VPN mit FRITZ!Box 7390 (FRITZ!OS 6) verbinden

Remote Access. Virtual Private Networks. 2000, Cisco Systems, Inc.

1KONFIGURATION VON ACCESS LISTEN UND FILTERN

Best Practices - Mobile User VPN mit IKEv2

1IPSEC VPN MIT CALLBACK (IP-ADRESSE IM B/D- KANAL)

Collax ios-vpn Howto. Inhalt

Workshop: IPSec. 20. Chaos Communication Congress

VPN-Client Android Konfiguration und Installation des internen VPN Clients und Cisco-AnyConnect VPN-Clients

ProSafe VPN Client Software. FVL328 (FWAG114, FWG114P, FVS328) mit dynamischer WAN-IP-Adresse. 16. Beispielkonfiguration Übersicht.

Konfigurationsbeispiel USG

IRF2000 Application Note Port - Weiterleitung

Projektierung und Betrieb von Rechnernetzen

LevelOne. Quick Installation Guide. EAP series Enterprise Access Point. Default Settings. IP Address

Drei DI-804HV/DI-824VUP+ über VPN Tunnel miteinander verbinden

Cisco SA 500 Series Security Appliance

Herausforderung Multicast IPTV

Remotezugriff auf Router-Portal

Konfigurationsanleitung Quality of Service (QoS) Funkwerk. Copyright Stefan Dahler Oktober 2008 Version 1.1.

MikroTik CCR. TV7: IGMP Proxy aktivieren

Transkript:

HowTo IPSec Roadwarrior mit PSK Dieses Beispiel zeigt, wie zwei Netze via IPSec unter Verwendung eines Preshared Key miteinander verbunden werden, um beispielsweise eine Aussenstelle an eine Firmenzentrale anzubinden. Abbildung 1: Beispiel Netzplan 1 IPSec Konfiguration auf der Zentralseite Auf der Zentralseite wird von einer festen IP (z.b. CompanyConnect) an der Netzwerkschnittstelle eth0 ausgegangen. Wird ein anders Interface verwendet muss dieses unter Networking > IPSec VPN > Global Settings angepasst werden. Dazu wird bei den IPSec-Interface-Mappings Use ipsec0 as defaultroute auf No gestellt und im Dropdownmenü Bind ipsec0 to die verwendete Schnitstelle ausgewählt. 1.1 Template erstellen Auf der Zentralseite empfielt sich für die IPSec Konfiguration die Verwendung von Templates. Hinweis Templates vereinfachen die Konfiguration, da hier immer wiederkehrende global gesetzt werden können. Um ein IPSec Template zu erstellen navigiert man in das Menü Networking > IPSec VPN und klickt dort auf den Button [Add Template]. In diesem Beispiel wurde die Konfiguration wie dem Screenshot und den Tabellen zu entnehmen ist, erstellt. Freigabe: Seite 1 von 11

Abbildung 2: IPSec Template 1.1.1 Global Settings Connection-Name Action on Startup Connection Type roadwarrior Load/Add Tunnel 1.1.2 Phase1(ISAKMP) Settings ISAKMP Method Our/Left IP-Address Peer/Right IP-Address Aggressive Mode %eth0 %any 1.1.2.1 IKE Settings IKE algorithms Encryption: aes128 Authentication: sha1 MODP-Group: 1024 IKE Lifetime 8h 1.1.3 Phase2 Settings Encapsulating Security Payload (ESP) Encryption: Authentication: PFS-Group: aes128 sha1 modp1024 Freigabe: Seite 2 von 11

SA Lifetime 8 hours Mittels des [Create] Buttons wird das Template erstellt. 1.2 IPSec Verbindung mit Template erstellen Um eine Verbindung unter Verwendung eines Templates zu erstellen, gibt es zwei Möglichkeiten. Entweder man benutzt den Add Connection Link der am Ende der Tabellenzeile des gewünschten Templates steht, oder man wählt in dem DropDown Menü neben dem [Add Connection] Button das entsprechende Template aus. Hinweis Die Konfigurationsseite der Verbindung unterscheidet sich nicht von der Template Seite, allerdings werden die, die im Template gesetzt wurden, ausgegraut. 1.2.1 Global Settings Connection-Name offsite1 1.2.2 Phase1(ISAKMP) Settings Our/Left ID Peer/Right ID @headquarter_id @offsite1_id muss für jeden Tunnel eindeutig sein 1.2.2.1 PSK-Settings Pre-Shared-Key Confirm Pre-Shared-Key In diesem Feld den zu verwendenden PSK eintragen Hier den PSK zum verifizieren eintragen Ersteller: Datum: 20.05.2014 Rev: Freigabe: 1.0 Seite 3 von 11

1.2.1 Phase2 Settings Local Subnet 10.1.0.0/16 Local Source IP 10.1.2.3 Remote Subnet 10.2.0.0/16 Remote Source IP 10.2.1.1 muss für jeden Endpunkt eindeutig sein muss für jeden Endpunkt eindeutig sein Durch drücken des[create] Buttons die Einstellungen Speichern. 1.3 IPSec Server starten Im Menü Networking > IPSec VPN wird der Server mit dem Button [Start IPSec Server] gestartet. Damit der IPSec auch nach einem Neustart aktiviert wird, wählt man bei [Start at boot time] yes und übernimmt diese Einstellung durch drücken des Buttons. 2 IPSec Konfiguration Aussenstelle In diesem Anwendungsbeispiel ist die Aussenstelle über ppp0 unter Verwendung des Connection- Managers online. Der IPSec Tunnel nutzt die bestehende Verbindung und wird durch den Connection- Manager gestartet. 2.1 IPSec Interface Mapping Unter dem Menüpunkt Networking > IPSec VPN > Global Settings wird der Use ipsec0 as defaultroute auf Yes gesetzt und die Änderung gespeichert. 2.2 IPSec Verbindung erstellen (ohne Template) Bei der Aussenstellenkonfiguration ist es nicht nötig mit Templates zu arbeiten, darum wird in diesem Beispiel auf ein Template verzichtet. Im Menü Networking > IPSec VPN auf den Button [Add Connection] klicken um die Verbindung anzulegen. Ersteller: Datum: 20.05.2014 Rev: Freigabe: 1.0 Seite 4 von 11

2.2.1 Global Settings Connection-Name offsite1 Action on Startup Ignore Connection Type Tunnel Enable Dead Peer Detection Yes DPD Delay 30 DPD Timeout 120 DPD Action on Timeout Clear 2.2.2 Phase1(ISAKMP) Settings ISAKMP Method Our/Left IP-Address Peer/Right IP-Address Our/Left ID Peer/Right ID Aggressive Mode %ppp0 Öffentiche IP von headquater @offsite1_id @headquarter_id 2.2.2.1 PSK-Settings Pre-Shared-Key Confirm Pre-Shared-Key In diesem Feld den zu verwendenden PSK eintragen Hier den PSK zum verifizieren eintragen 2.2.2.2 IKE Settings IKE algorithms Encryption: aes128 Authentication: sha1 MODP-Group: 1024 IKE Lifetime 8h Ersteller: Datum: 20.05.2014 Rev: Freigabe: 1.0 Seite 5 von 11

2.2.3 Phase2 Settings Local Subnet 10.2.0.0/16 Local Source IP 10.2.1.1 Remote Subnet 10.1.0.0/16 Remote Source IP 10.1.2.3 Encapsulating Security Payload (ESP) muss für jeden Endpunkt eindeutig sein muss für jeden Endpunkt eindeutig sein Encryption: Authentication: PFS-Group: aes128 sha1 modp1024 SA Lifetime 8 hours [Create] übernimmt die eingestellten. 2.3 IPSec mit dem Connection-Manager starten Um die IPSec Verbindung über den Connection-Manager zu starten, öffnet man den Connection- Manager Eintrag, der das PPP-Interface verwaltet. In diesem Beispiel ist das Networking > Connection Management > Connection-Manager > Index 1. Hier wird in etwa in der Seitenmitte bei dem Use IPSec-Interface das verwendete Interface angepasst. Use IPSec-Interface ipsec0 as defaultroute Am Ende dieser Seite unter dem Punkt Logical Subordinated Connections wird der Button [Add Connection] gedrückt und eine Verbindung hinzugefügt. Auf der Konfigurationsseite wird nun lediglich die angelegte IPSec Verbindung ausgewählt und die wie folgt gesetzt. Abbildung 3: Connection-Manager - logische Verbindung Freigabe: Seite 6 von 11

Power Up Delay 2 Maximum Negotiation Timeout 15 Mit [Create] Speichern. 3 Firewall Regeln Aus Sicherheitsgründen sollte der Zugriff von Aussen (aus dem Internet) auf die Router beschränkt werden. Es ist zwingend erforderlich, dass der Zugriff über die lokal verwendete(n) Schnittstelle(n) erlaubt ist, da man sich sonst aussperrt. Dazu wechselt man in das Menü Networking > Linux Firewall > Showing IPtable: Packet filtering (filter). In dem Bereich Incoming packets (INPUT) werden mit [Add Rule] die Regeln mit den n wie in den Tabellen hinzugefügt und mit [Create] angelegt. Action to take Comment Network protocol Accept Accept Accept Allow Encapsulating Security Payload (ESP) Allow Internet Key Exchange (IKE) Allow NAT traversal (NAT-T) Equal ESP Destination TCP or UDP port Equal UDP Port(s): 500 Equal UDP Port(s): 4500 Action to take Comment Incoming interface Accept Allow traffic on ipsec0 interface Equals other - ipsec0 Nach Erstellen der Regeln werden die Einstellungen mit [Apply Configuration] übernommen. 3.1 Firewall Einstellungen Zentralseite Eine Firewall die von aussen nur in IPSec verwendete Protokolle und Ports verwendet, könnte wie in dem Screenshot gezeigt aussehen. Ersteller: Datum: 20.05.2014 Rev: Freigabe: 1.0 Seite 7 von 11

Abbildung 4: Zentralseitige Firewall 3.2 Firewall bei der Aussenstelle Wird der Router auch als Internet Gateway verwendet, benötigt man eine Established/Related und eine Masquerading Regel für das Öffentliche Interface, ansonsten genügt es das lokale Interface zu erlauben. 3.2.1 Established/Related Regel Im Menü Networking > Linux Firewall > Showing IPtable: Packet filtering (filter) wird im Bereich Incoming packets (INPUT) mit [Add Rule] folgende Regel hinzugefügt. Action to take Comment Connection states Accept Allow traffic if established or related Equals ESTABLIED und RELATED Mehrfachauswahl [STRG]+Klick Abbildung 5: Aussenstellen Router, gleichzeitig Internet Gateway 3.2.2 Masquerading Das Masquerading konfiguriert man unter Networking > Linux Firewall > Showing IPtable: Network address translation (nat) im Bereich Packets after routing (POSTROUTING). Action to take Masquerade Outgoing interface Equals Other ppp0 (hier das verwendete Interface eintragen) Freigabe: Seite 8 von 11

Abbildung 6: Masquerading am Aussenstellen Router 4 Konfiguration abschließen Um die Konfiguration abzuschließen, ist es nötig, die durchgeführten Änderungen dauerhaft zu speichern. Dazu wechselt man auf die Seite Permanent Save und drückt auf Save Config. Um die Änderungen dauerhaft zu übernehmen ist es nötig Permanent Save > Save Config auszuführen, da die Einstellungen sonst bei einem Router- Neustart verloren gehen. 5 Logfileauszug Nachfolgend Logfileauszüge von einem erfolgreichen IPSec Verbindungsaufbau. Verbindungsaufbau bei der Aussenstelle: Jan 21 10:11:12 C1500 pluto[5372]: added connection description "offsite1" Jan 21 10:11:12 C1500 pluto[5372]: "offsite1" #10: initiating Aggressive Mode #10, connection "offsite1" Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #10: received Vendor ID payload [Dead Peer Detection] Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #10: received Vendor ID payload [RFC 3947] method set to=109 Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #10: Aggressive mode peer ID is ID_FQDN: '@headquarter_id' Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #10: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #10: transition from state STATE_AGGR_I1 to state STATE_AGGR_I2 Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #10: STATE_AGGR_I2: sent AI2, ISAKMP SA established {auth=oakley_preared_key cipher=aes_128 prf=oakley_sha group=modp1024} Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #10: Dead Peer Detection (RFC 3706): enabled Jan 21 10:11:13 C1500 pluto[5372]: "offsite1" #11: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+DONTREKEY+UP+AGGRESSIVE+IKEv2ALLOW {using isakmp#10 msgid:fe8d1e4a proposal=aes(12)_128-a1(2)_160 pfsgroup=oakley_group_modp1024} Jan 21 10:11:14 C1500 pluto[5372]: "offsite1" #11: Dead Peer Detection (RFC 3706): enabled Jan 21 10:11:14 C1500 pluto[5372]: "offsite1" #11: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2 Jan 21 10:11:14 C1500 pluto[5372]: "offsite1" #11: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x08427414 <0x881c46b2 xfrm=aes_128-hmac_a1 NATOA=none NATD=none DPD=enabled} Jan 21 10:11:15 C1500 Connection_Manager[30781]: Connection-Entry 1, Logical-Entry 1: IPSec-connection established successfully! Freigabe: Seite 9 von 11

Verbindungsaufbau auf der Zentralseite: payload [Dead Peer Detection] payload [RFC 3947] method set to=109 payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 109 payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 109 payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 109 payload [draft-ietf-ipsec-nat-t-ike-00] Jan 21 10:11:12 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: Aggressive mode peer ID is ID_FQDN: '@offsite1_id' Jan 21 10:11:12 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: responding to Aggressive Mode, state #1, connection "offsite1" from 80.187.0.141 Jan 21 10:11:12 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: enabling possible NATtraversal with method 4 Jan 21 10:11:12 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: transition from state STATE_AGGR_R0 to state STATE_AGGR_R1 Jan 21 10:11:12 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: STATE_AGGR_R1: sent AR1, expecting AI2 Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: transition from state STATE_AGGR_R1 to state STATE_AGGR_R2 Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: STATE_AGGR_R2: ISAKMP SA established {auth=oakley_preared_key cipher=aes_128 prf=oakley_sha group=modp1024} Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: Dead Peer Detection (RFC 3706): enabled Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #1: the peer proposed: 10.1.0.0/16:0/0 -> 10.2.0.0/16:0/0 Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: responding to Quick Mode proposal {msgid:d7e38d27} Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: us: 10.1.0.0/16===62.123.231.12<%eth0>[@headquarter_id,+S=C] Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: them: 80.187.0.141[@offsite1_id,+S=C]===10.2.0.0/16 Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1 Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2 Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: up-client output: /usr/local/lib/ipsec/_updown.klips: changesource `ip route change 10.2.0.0/16 dev ipsec0 src 10.1.2.3' failed (RTNETLINK answers: No such file or directory) Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: Dead Peer Detection (RFC 3706): enabled Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2 Jan 21 10:11:13 C1500 pluto[26437]: "offsite1"[1] 80.187.0.141 #2: STATE_QUICK_R2: IPsec SA established tunnel mode {ESP=>0x881c46b4 <0x20ec795f xfrm=aes_128-hmac_a1 NATOA=none NATD=none DPD=enabled} Ersteller: Datum: 20.05.2014 Rev: Freigabe: 1.0 Seite 10 von 11

Abbildung 7: IPSec erfolgreich aufgebaut (Zentralseite) Freigabe: Seite 11 von 11

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback