Bintec Konfiguration: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(10 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
 
== Konfiguration eines Bintec Routers ==
 
== Konfiguration eines Bintec Routers ==
Die entsprechenden PDFs von der bintec-CD sind unter /export/share/dokus/bintec/de/r_series/ zu finden
+
*[[Konfiguration eines Bintec Routers]]
'''Einloggen per Telnet'''
+
==Bintec Phase 1 + 2 ==
telnet 192.168.240.1
+
*[[Bintec Phase 1 + 2]]
Trying 192.168.240.1...
 
Connected to 192.168.240.1.
 
Escape character is '^]'.
 
 
Welcome to R1200 version V.7.4 Rev. 3 IPSec from 2006/05/19 00:00:00
 
systemname is r1200, location
 
 
Login: admin
 
Password:
 
 
Password not changed. Call "setup" for quick configuration.
 
r1200:> 
 
'''r1200:>setup'''
 
[[Image:1-setup.png|Description]]
 
== Add Proposal von IKE (PHASE 1)==
 
[[Datei:ike-phase1-bintec-1.png]]
 
 
 
 
 
[[Datei:ike-phase1-bintec-2.png]]
 
 
 
 
 
== Add Proposal von IKE (PHASE 2)==
 
 
 
[[Datei:ike-phase2-bintec-1.png]]
 
 
 
[[Datei:ike-phase2-bintec-2.png]]
 
 
 
[[Datei:ike-phase2-bintec-3.png]]
 
  
 
== Konfiguration einer IPSEC-VPN  Bintec mit Openswan ==
 
== Konfiguration einer IPSEC-VPN  Bintec mit Openswan ==
1. Auf dem Bintec im Setupmenu IPSEC auswählen.
+
*[[Konfiguration einer IPSEC-VPN Bintec mit Openswan]]
 
2. Configure Peers auswählen.
 
 
3. Dann APPEND auswählen
 
 
[[Image:2-configure-peers.png|Description]]
 
   
 
4. Folgende Felder ausfüllen und dann Peer specific Settings wählen
 
 
[[Image:3-configure-peers.png|Description]]
 
 
 
5. Bei IKE (Phase1) Profile: 3des-md5-modp1024 und bei IPsec (Phase 2) Profile: 3des-md5-96  und speichern
 
 
[[Image:3-1-configure-peers.png|Description]]
 
 
6. Traffic List Settings wählen und auf append gehen enter drücken und folgedes ausfüllen und speichen
 
 
[[Image:6-traffic-list-settings.png|Description]]
 
 
7. Alle veränderungen speichern und setup verlassen.
 
 
 
'''Openswan Konfigurationsdatei'''
 
root@equinox:~# cat /etc/ipsec.conf
 
conn funkwerk-equinox
 
        left=192.168.254.33
 
        leftid=192.168.254.33
 
        leftsubnet=192.168.8.0/24
 
        right=192.168.240.1
 
        rightid=192.168.240.1
 
        rightsubnet=192.168.0.0/24
 
        authby=secret
 
        ike=3des-md5-modp1024
 
        esp=3des-md5-96
 
        pfs=yes
 
        auto=start
 
'''Openswan Secretdatei'''
 
root@equinox:~# cat /etc/ipsec.secrets
 
192.168.254.33 192.168.240.1 : PSK "suxer"
 
'''Secretdatei nue einlesen'''
 
root@equinox:~# ipsec auto --rereadsecrets
 
'''Hinzufügen der verbinung zur Security Association Database'''
 
root@equinox:~# ipsec auto --add funkwerk-equinox
 
  
 
== Konfiguration einer IPSEC-VPN  Bintec mit Openswan und Zertifikaten ==
 
== Konfiguration einer IPSEC-VPN  Bintec mit Openswan und Zertifikaten ==
'''Importieren von Zertifikaten'''
+
*[[Konfiguration einer IPSEC-VPN  Bintec mit Openswan und Zertifikaten]]
 
1. ueber setup den Punkt "IPSEC" auswaehlen und bestaetigen
 
 
2. Den Unterpunkt "Certificate and Key Management" auswahlen und bestaetigen
 
 
3. Zum Importieren von Zertifikaten den Unterpunkt "Qwn Certificates" waehlen
 
 
4. Im folgenden Fenster auf "Download" gehen und die entprechenden Werte fuer den TFTP-Server mit dem Zertifikat eintragen
 
mit "Start" download starten und Zertifikat importieren.
 
 
 
[[Image:Ipsec_cert1.png|Description]]
 
 
 
Danach sollte unter unter "IPSEC" "Certificate and Key Management" "Own Certificates" ein Zertifikat zu finden sein. Durch Auswaehlen mit enter sollte folgendes Bild erscheinen
 
 
 
[[Image:Ipsec_cert3.png|Description]]
 
 
 
 
5.Um die zuvor mit Preshared Key konfigurierte Verbindung an Zertifikate anzupassen ins Menu "IPSEC" und bei "IKE (Phase 1) Defaults" edit waehlen,
 
anpassen und abspeichern
 
'''Wichtig, der Eintrag bei "Local ID" muss dort umgekehrt zu dem Eintrag bei den OpenSwan Clients stehen, also zunaechst CN= ...;'''
 
'''er muss dem Eintrag des obigen Subject Name entsprechen, inklusive der <> Zeichen'''
 
 
 
[[Image:Ipsec_cert2.png|Description]]
 
 
 
6. Ueber "IPSEC" "Configure Peers" den entprechenden Eintrag auswaehlung und folgendermassen anpassen und speichern
 
'''Wichtig, auch hier muss, wie oben, die Peer ID umgekehrt zur Konfiguration bei openswan angegeben werden, also CN=....'''
 
 
 
[[Image:Ipsec_cert4.png|Description]]
 
 
 
 
 
7. abschliessend "Save as boot configuration and exit" waehlen
 
 
 
 
 
 
 
 
 
 
'''Openswan Konfigurationsdatei'''
 
 
 
knub:~# cat /etc/ipsec.conf
 
version 2.0
 
 
config setup
 
        interfaces="ipsec0=eth0"
 
        klipsdebug=none
 
        plutodebug="control"
 
        #plutodebug="emitting parsing control"
 
        #plutodebug="all"
 
 
conn knub-funkwerk
 
      left=192.168.240.1
 
      leftid="C=de,ST=pfalz,L=zw,O=xinux,OU=edv,CN=funkwerk.alpha.quadrant"
 
      leftsubnet=192.168.0.0/24
 
      leftrsasigkey=%cert
 
      right=192.168.254.29
 
      rightid="C=de,ST=pfalz,L=zw,O=xinux,OU=edv,CN=knub.alpha.quadrant"
 
      rightsubnet=192.168.9.0/24
 
      rightcert="knub.alpha.quadrant.crt"
 
      rightrsasigkey=%cert
 
      authby=rsasig
 
      ike=3des-md5-modp1024
 
      esp=3des-md5-96
 
      pfs=yes
 
      auto=add
 
 
include /etc/ipsec.d/examples/no_oe.conf
 
 
 
 
 
'''Openswan Secretdatei'''
 
 
 
knub:~# cat /etc/ipsec.secrets
 
 
192.168.254.29 0.0.0.0 : RSA knub.alpha.quadrant.key ""
 
 
 
 
 
'''Secretdatei neu einlesen'''
 
 
 
knub:~# ipsec auto --rereadsecrets
 
 
 
 
 
'''Hinzufügen der Verbindung zur Security Association Database'''
 
 
knub:~# ipsec auto --replace knub-funkwerk && ipsec auto --add knub-funkwerk
 
 
 
 
 
 
 
== VPN-PPTP Tunnels zu Windows XP Professional incl. Service Pack 1 ==
 
 
 
1. Ueber setup zu IP und Network Adress Translation gehen. Dort das Interface aussuchen, den Punkt "requested from OUTSIDE" waehlen
 
und folgenden Eintrag hinzufuegen
 
 
[[Image:Pptp1.png|Description]]
 
   
 
2. Ueber PPTP, ADD einen VPN-Partner hinzufuegen. Für Windows XP sollten nur die MPPE V2 Varianten mit dem Zusatz RFC 3078 verwendet werden!
 
 
 
[[Image:Pptp2.png|Description]]
 
 
 
 
3. Im Punkt PPP folgende Einstellungen waehlen und das Passwort setzen (muss 2x eingegeben werden).
 
Mit dem hier eingestellten Partner und dem Passwort erfolgt das login von XP aus
 
 
[[Image:Pptp3.png|Description]]
 
 
4. Der Punkt Advanced Settings sollte so aussehen
 
 
[[Image:Pptp4.png|Description]]
 
 
5. Den Punkt IP, Advanced Settings folgendermassen einstellen und alles abspeichern
 
 
  [[Image:Pptp5.png|Description]]
 
 
6. Unter IP, IP adress pool WAN (PPP), ADD den IP-Adresspool für WAN-Partner zur dynamischen Adreßzuweisung für die Windows XP VPN-Clients anlegen
 
 
[[Image:Pptp6.png|Description]]
 
 
Soll eine Pool ID ungleich 0 festlegt werden, so muss diese Pool ID in der Tabelle "biboPPPTable" über den Parameter "IpPoolId"
 
für das PPTP-Interface manuell eingestellt werden
 
 
7. Ueber Fast Ethernet, Interface auswaehlen und bei Advanced Settings Proxy-Arp auf LAN-Interface aktivieren.
 
    '''Proxy-Arp muß auf beiden beteiligten Interfaces aktiviert werden, daher den gleichen Schritt auch fuer das "aeussere" Interface durchfuehren'''
 
    Dann alles speichern
 
 
[[Image:Pptp7.png|Description]]
 
 
 
8. Zur Aktivierung der dynamischen IP-Adreßzuweisung für den VPN-Client beim VPN-Verbindungsaufbau muß der Parameter "biboPPPTable.IpAddress" derzeitig
 
noch auf der Kommandozeile der SNMP-Shell gesetzt werden (nicht über das Setup-Tool möglich)!
 
Auf Kommandozeile biboPPPTable zur Ansicht der Tabelle eingeben.Dann mit IpAddress:0=dynamic_server den Eintrag von static zu dynamic_server aendern.
 
Mit biboPPPTable den Eintrag nochmal ueberpruefen. Er sollte dann so aussehen:
 
 
[[Image:Pptp8.png|Description]]
 
 
9. Zur Abschaltung der GRE-Window-Anpassung ab Windows XP Service Pack 1 auf der Konsole nach pptpProfileTable wechseln und dort
 
Id=1 MaxSWin=256 GreWindowAdaption=disabled absetzen.
 
 
[[Image:Pptp9.png|Description]]
 
 
 
 
 
'''Beim Windows-Client folgende Schritte durchfuehren'''
 
 
 
* neue Netzwerkverbindung erstellen erstellen
 
* Verbindung mit dem Netzwerk am Arbeitsplatz herstellen
 
* VPN-Verbindung
 
* Namen fuer Verbindung waehlen
 
* Keine Anfangsverbindung automatisch waehlen
 
* Hostname oder IP des bintec
 
* Freigabe der Verbindung fuer einen oder alle Benutzer
 
* Fertigstellen
 
 
 
Ueber Eigenschaften der Verbindung, Sicherheit, Erweitert, Einstellung folgendes auswaehlen:
 
 
 
[[Image:Pptp10.png|Description]]
 
 
 
Dann mit den logindaten aus punkt 3 einloggen
 
 
 
[[Image:Pptp11.png|Description]]
 
 
 
 
 
Bei Problemen im bintec mit Hilfe der debug Funktion loggen
 
  
 
== NAT ==
 
== NAT ==
"Mit aktiviertem NAT werden IP-Verbindungen standardmässig nur noch in einer
+
*[[Bintec Nat]]
Richtung, ausgehend (forward) zugelassen (=Schutzfunktion). Ausnahmeregeln
 
können konfiguriert werden (in SESSIONS REQUESTED FROM OUTSIDE)."
 
  
Debugging lässt sich mit diesem Kommando einschalten
+
== Access Lists ==
funkwerk> debug inet
+
*[[Bintec Access Lists]]
  
Dort kann man auch sehen ob der Bintec die Verbindung verbietet.
 
  
  
 
=== IPsec Verbindungen NATen ===
 
=== IPsec Verbindungen NATen ===
 
  1. Einrichten einer VPN wie bereits oben beschrieben, allerdings mit diesen Änderungen:
 
  1. Einrichten einer VPN wie bereits oben beschrieben, allerdings mit diesen Änderungen:
+
 
[[Image:Ipsec nat1.jpg|Description]]
 
  
 
  2. Und dann unter dem Punkt "Interface IP Settings" diese Einstellunge vornehmen:
 
  2. Und dann unter dem Punkt "Interface IP Settings" diese Einstellunge vornehmen:
 
[[Image:Ipsec nat2.jpg|Description]]
 
[[Image:Ipsec nat3.jpg|Description]]
 
[[Image:Ipsec nat4.jpg|Description]]
 
  
 
  3. NAT Regeln einstellen
 
  3. NAT Regeln einstellen
  
 
  WICHTIG: Der BINTEC ist nicht in der Lage die VPN-Verbindung aufzubauen. Lediglich die Gegenseite ist in der Lage.
 
  WICHTIG: Der BINTEC ist nicht in der Lage die VPN-Verbindung aufzubauen. Lediglich die Gegenseite ist in der Lage.
 +
 
== Sonstiges ==
 
== Sonstiges ==
 
*[ftp://www.bintec.de/bintec/doku/r_series/r4300/manual_v71_en/rxxxx_manual_FCI_v71_en.PDF Funkwerk/Bintec Manual]
 
*[ftp://www.bintec.de/bintec/doku/r_series/r4300/manual_v71_en/rxxxx_manual_FCI_v71_en.PDF Funkwerk/Bintec Manual]

Aktuelle Version vom 27. Mai 2021, 21:57 Uhr

Konfiguration eines Bintec Routers

Bintec Phase 1 + 2

Konfiguration einer IPSEC-VPN Bintec mit Openswan

Konfiguration einer IPSEC-VPN Bintec mit Openswan und Zertifikaten

NAT

Access Lists


IPsec Verbindungen NATen

1. Einrichten einer VPN wie bereits oben beschrieben, allerdings mit diesen Änderungen:



2. Und dann unter dem Punkt "Interface IP Settings" diese Einstellunge vornehmen:

3. NAT Regeln einstellen

WICHTIG: Der BINTEC ist nicht in der Lage die VPN-Verbindung aufzubauen. Lediglich die Gegenseite ist in der Lage.

Sonstiges


Vorlage:FAQ Vorlage:Passwords

Abgerufen von „http://wiki.ixheim.de/index.php?title=Bintec_Konfiguration&oldid=23346