Home
Firmware
Fehlersuche - Support
Funktionsüberblick
Signalscanner
Application Notes
Usermodule
Videos
LUCOM
Shop
Newsletter
Testgerät
Workshop
www.lucom.de
info@lucom.de
LUCOM GmbH Komponenten & Systeme Flößaustraße 22a 90763 Fürth GERMANY Fon: +49 911 957 60 600 Fax: +49 911 957 60 620 E-Mail:info@lucom.de
Auf dieser Seite werden die Einstellungen eines mGuard Routers beschrieben, so dass dieser als IPsec Server für einen LUCOM Mobilfunkrouter verwendet werden kann.
LAN Einstellungen analog zum Netzwerk Diagramm. Lokale LAN IP und Subnetmask des mGuard sind die 192.168.10.1 und 255.255.255.0. Die restlichen Einstellungen betreffen den Weg vom mGuard zum Internet (Routing).
Abb.1: LAN-Einstellungen des Innominate Routers
Bevor die IPsec Verbindung aufgebaut werden kann, müssen das mGuard-eigene Server-Zertifikat (serverZert) sowie das übergeordnete CA-Zertifikat (demoCA) in den mGuard geladen werden.
Wie bereits beschrieben können die Zertifikate zu Testzwecken hier heruntergeladen werden. Für den Dauerbetrieb dieser Lösung empfiehlt es sich jedoch eigene Zertifikate für die Kommunikationsteilnehmer zu generieren.
Die Zertifikatsverwaltung im mGuard erfolgt im Menü Authentifizierung → Zertifikate.
Abb.2: Basis Zertifikatseinstellungen im Reiter Zertifikatseinstellungen
Als erstes muss das Server-Zertifikat serverZert in den mGuard geladen werden, Reiter Maschinenzertifikate.
Abb.3: Server-Zertifikat im mGuard
Neben dem Server-Zertifikat wird noch das CA-Zertifikat (demoCA) im Reiter CA-Zertifikate benötigt
Abb.4: CA-Zertifikat im mGuard
Die Hauptmenü für VPN Tunnel im MGuard ist IPsec VPN.
Einzige im Menü IPsec VPN → Global zu ändernde Parameter sind die IKE-Fragmentierung und die MTU-Size (siehe nachfolgenden Screenshot
Abb.5: Menü Global im Innominate Router
Im Detail werden IPsec Tunnel im Menü IPsec VPN → Verbindungen vorgenommen.
Abb.6: Hauptmenü für die Tunneldetails
Zunächst ist eine neue Verbindung zu generieren.
Abb.7: Namen der Verbindung vergeben
Über den Knopf editieren erreicht man die umfangreichen Detaileinstellungen für den VPN-Tunnel. Die Basis-Einstellungen des Tunnels werden im Reiter Allgemein eingerichtet. Wichtig sind die Transport- und Tunneleinstellungen am Ende des Reiters.
Abb.8: Allgemeinen Tunneleinstellungen
In diesem Fallbeispiel erfolgt die Authentifizierung der VPN-Teilnehmer via Zertifikaten. Dem mGuard ist im Reiter Authentifizierung mitzuteilen, wie die Authentifizierung mit dem Lucom Mobilfunkrouter durchgeführt werden soll:
Abb.9: Authentifizierungsdetails des eigentlichen VPN-Tunnels
Der Einfachheit halber werden alle Verbindungen akzeptiert, Reiter 'Firewall. Auf Wunsch kann hier nachträglich noch Feinarbeit geleistet werden.
Abb.10: Vereinfachte Firewall Details im mGuard
Sehr wichtig für den Aufbau und die Langzeitstabilität des IPsec Tunnels sind auch die Einstellungen im Reiter IKE-Optionen. Für den Schlüssel- und Datenaustausch sind jeweils 3DES und SHA-1 als kleinste gemeinsame Nenner zu selektieren.
Abb.11: Parameter für den Schlüssel- und Datenaustausch
Die Einstellungen für die SA Lebensdauer und Grenzen können dem nachfolgenden Screenshot entnommen werden.
Abb.12: SA Lebensdauer und Grenzen
Dead Peer Detection sollte ebenfalls nicht vergessen werden, zu parametrisieren. Die nachfolgenden Einstellungen haben sich vielfach bewährt.
Abb.13: Dead Peer Detection aktivieren
Damit sind alle Einstellungen im Innominate mGuard vorgenommen und es kann mit der Parametrisierung des LUCOM Mobilfunkrouters begonnen werden.
