Bintec Konfiguration
Version vom 28. April 2016, 10:16 Uhr von Thomas (Diskussion | Beiträge)
Konfiguration eines Bintec Routers
Bintec Phase 1 + 2
Konfiguration einer IPSEC-VPN Bintec mit Openswan
Konfiguration einer IPSEC-VPN Bintec mit Openswan und Zertifikaten
VPN-PPTP Tunnels zu Windows XP Professional incl. Service Pack 1
1. Ueber setup zu IP und Network Adress Translation gehen. Dort das Interface aussuchen, den Punkt "requested from OUTSIDE" waehlen und folgenden Eintrag hinzufuegen Description 2. Ueber PPTP, ADD einen VPN-Partner hinzufuegen. Für Windows XP sollten nur die MPPE V2 Varianten mit dem Zusatz RFC 3078 verwendet werden! Description 3. Im Punkt PPP folgende Einstellungen waehlen und das Passwort setzen (muss 2x eingegeben werden). Mit dem hier eingestellten Partner und dem Passwort erfolgt das login von XP aus Description 4. Der Punkt Advanced Settings sollte so aussehen Description 5. Den Punkt IP, Advanced Settings folgendermassen einstellen und alles abspeichern Description 6. Unter IP, IP adress pool WAN (PPP), ADD den IP-Adresspool für WAN-Partner zur dynamischen Adreßzuweisung für die Windows XP VPN-Clients anlegen Description Soll eine Pool ID ungleich 0 festlegt werden, so muss diese Pool ID in der Tabelle "biboPPPTable" über den Parameter "IpPoolId" für das PPTP-Interface manuell eingestellt werden 7. Ueber Fast Ethernet, Interface auswaehlen und bei Advanced Settings Proxy-Arp auf LAN-Interface aktivieren. Proxy-Arp muß auf beiden beteiligten Interfaces aktiviert werden, daher den gleichen Schritt auch fuer das "aeussere" Interface durchfuehren Dann alles speichern Description 8. Zur Aktivierung der dynamischen IP-Adreßzuweisung für den VPN-Client beim VPN-Verbindungsaufbau muß der Parameter "biboPPPTable.IpAddress" derzeitig noch auf der Kommandozeile der SNMP-Shell gesetzt werden (nicht über das Setup-Tool möglich)! Auf Kommandozeile biboPPPTable zur Ansicht der Tabelle eingeben.Dann mit IpAddress:0=dynamic_server den Eintrag von static zu dynamic_server aendern. Mit biboPPPTable den Eintrag nochmal ueberpruefen. Er sollte dann so aussehen: Description 9. Zur Abschaltung der GRE-Window-Anpassung ab Windows XP Service Pack 1 auf der Konsole nach pptpProfileTable wechseln und dort Id=1 MaxSWin=256 GreWindowAdaption=disabled absetzen. Description
Beim Windows-Client folgende Schritte durchfuehren
- neue Netzwerkverbindung erstellen erstellen
- Verbindung mit dem Netzwerk am Arbeitsplatz herstellen
- VPN-Verbindung
- Namen fuer Verbindung waehlen
- Keine Anfangsverbindung automatisch waehlen
- Hostname oder IP des bintec
- Freigabe der Verbindung fuer einen oder alle Benutzer
- Fertigstellen
Ueber Eigenschaften der Verbindung, Sicherheit, Erweitert, Einstellung folgendes auswaehlen:
Dann mit den logindaten aus punkt 3 einloggen
Bei Problemen im bintec mit Hilfe der debug Funktion loggen
NAT
"Mit aktiviertem NAT werden IP-Verbindungen standardmässig nur noch in einer Richtung, ausgehend (forward) zugelassen (=Schutzfunktion). Ausnahmeregeln können konfiguriert werden (in SESSIONS REQUESTED FROM OUTSIDE)."
Debugging lässt sich mit diesem Kommando einschalten
funkwerk> debug inet
Dort kann man auch sehen ob der Bintec die Verbindung verbietet.
IPsec Verbindungen NATen
1. Einrichten einer VPN wie bereits oben beschrieben, allerdings mit diesen Änderungen: Description
2. Und dann unter dem Punkt "Interface IP Settings" diese Einstellunge vornehmen: Description Description Description
3. NAT Regeln einstellen
WICHTIG: Der BINTEC ist nicht in der Lage die VPN-Verbindung aufzubauen. Lediglich die Gegenseite ist in der Lage.