Benutzer-Werkzeuge

Webseiten-Werkzeuge


lucom:router:innominate_router_als_ipsec_server

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

lucom:router:innominate_router_als_ipsec_server [2017/01/25 22:09] (aktuell)
Zeile 1: Zeile 1:
 +====== Innominate Router als IPsec Server ======
 +{{ :​lucom:​router:​dual-350.jpg?​nolink&​100|}}
  
 +Auf dieser Seite werden die Einstellungen eines mGuard Routers beschrieben,​ so dass dieser als IPsec Server für einen LUCOM Mobilfunkrouter verwendet werden kann.
 +
 +===== mGuard LAN-Einstellungen ​ =====
 +
 +LAN Einstellungen analog zum Netzwerk Diagramm. Lokale LAN IP und Subnetmask des mGuard sind die 192.168.10.1 und 255.255.255.0. Die restlichen Einstellungen betreffen den Weg vom mGuard zum Internet (Routing). ​
 +
 +{{:​lucom:​router:​00.mguard-netw-einstellungen2.jpg?​nolink|}}
 +
 +**Abb.1:** LAN-Einstellungen des Innominate Routers ​
 +
 +===== mGuard Zertifikats-Einstellungen =====
 +
 +Bevor die IPsec Verbindung aufgebaut werden kann, müssen das mGuard-eigene Server-Zertifikat (serverZert) sowie das übergeordnete CA-Zertifikat (demoCA) in den mGuard geladen werden.
 +
 +Wie bereits beschrieben können die Zertifikate zu Testzwecken hier heruntergeladen werden. Für den Dauerbetrieb dieser Lösung empfiehlt es sich jedoch [[lucom:​router:​vpn-zertifikat-verwalten|eigene Zertifikate]] für die Kommunikationsteilnehmer zu generieren.
 +
 +Die Zertifikatsverwaltung im mGuard erfolgt im Menü **Authentifizierung -> Zertifikate.** ​
 +
 +{{:​lucom:​router:​01.mguard-auth-zert.jpg?​nolink|}}
 +
 +**Abb.2:** Basis Zertifikatseinstellungen im Reiter **Zertifikatseinstellungen** ​
 +
 +Als erstes muss das Server-Zertifikat serverZert in den mGuard geladen werden, Reiter Maschinenzertifikate. ​
 +
 +{{:​lucom:​router:​02.mguard-auth-masch-zert.jpg?​nolink|}}
 +
 +**Abb.3**: Server-Zertifikat im mGuard ​
 +
 +Neben dem Server-Zertifikat wird noch das CA-Zertifikat (demoCA) im Reiter **CA-Zertifikate** benötigt
 +
 +{{:​lucom:​router:​03.mguard-auth-ca-zert.jpg?​nolink|}}
 +
 +**Abb.4:** CA-Zertifikat im mGuard ​
 +
 +===== mGuard IPsec-Einstellungen =====
 +
 +Die Hauptmenü für VPN Tunnel im MGuard ist **IPsec VPN.**
 +
 +===== Globale Einstellungen ​ =====
 +
 +Einzige im Menü **IPsec VPN -> Global** zu ändernde Parameter sind die IKE-Fragmentierung und die MTU-Size (siehe nachfolgenden Screenshot
 +
 +{{:​lucom:​router:​06.mguard-ipsec-global-komplett.jpg?​nolink|}}
 +
 +**Abb.5:** Menü Global im Innominate Router ​
 +
 +===== IPsec Tunnel Einstellungen ​ =====
 +
 +Im Detail werden IPsec Tunnel im Menü IPsec **VPN -> Verbindungen** vorgenommen. ​
 +
 +{{:​lucom:​router:​07.mguard-ipsec-verb.jpg?​nolink|}}
 +
 +**Abb.6:** Hauptmenü für die Tunneldetails
 +
 +Zunächst ist eine neue Verbindung zu generieren. ​
 +
 +{{:​lucom:​router:​08.mguard-ipsec-verb-ii.jpg?​nolink|}}
 +
 +**Abb.7:** Namen der Verbindung vergeben ​
 +
 +Über den Knopf **editieren** erreicht man die umfangreichen Detaileinstellungen für den VPN-Tunnel. Die Basis-Einstellungen des Tunnels werden im Reiter **Allgemein** eingerichtet. Wichtig sind die **Transport- und Tunneleinstellungen** am Ende des Reiters. ​
 +
 +{{:​lucom:​router:​09.mguard-ipsec-verb-allg.jpg?​nolink|}}
 +
 +**Abb.8:** Allgemeinen Tunneleinstellungen ​
 +
 +In diesem Fallbeispiel erfolgt die Authentifizierung der VPN-Teilnehmer via Zertifikaten. Dem mGuard ist im Reiter **Authentifizierung** mitzuteilen,​ wie die Authentifizierung mit dem Lucom Mobilfunkrouter durchgeführt werden soll:
 +
 +  * Authentisierungsverfahren:​ X.509 Zertifikat
 +  * Lokales X.509-Zertifikat:​ serverZert (das selbe aus Menü Authentifizierung -> Zertifikate
 +  * Remote CA-Zertifikat:​ demoCA (d.i.t.o)
 +  * Gegenstellen-Zertifikat:​ clientZert (das Zertifikat des Mobilfunkrouters)
 +  * VPN Identifier: <können leer bleiben> ​
 +
 +{{:​lucom:​router:​10.mguard-ipsec-verb-auth2.jpg?​nolink|}}
 +
 +**Abb.9:** Authentifizierungsdetails des eigentlichen VPN-Tunnels ​
 +
 +Der Einfachheit halber werden alle Verbindungen akzeptiert, Reiter '​Firewall. Auf Wunsch kann hier nachträglich noch Feinarbeit geleistet werden. ​
 +
 +{{:​lucom:​router:​11.mguard-ipsec-verb-firewall.jpg?​nolink|}}
 +
 +**Abb.10:** Vereinfachte Firewall Details im mGuard ​
 +
 +Sehr wichtig für den Aufbau und die Langzeitstabilität des IPsec Tunnels sind auch die Einstellungen im Reiter **IKE-Optionen**. Für den Schlüssel- und Datenaustausch sind jeweils **3DES** und **SHA-1** als kleinste gemeinsame Nenner zu selektieren. ​
 +
 +{{:​lucom:​router:​12.mguard-ipsec-verb-ike-i.jpg?​nolink|}}
 +
 +**Abb.11:** Parameter für den Schlüssel- und Datenaustausch
 +
 +Die Einstellungen für die **SA Lebensdauer und Grenzen** können dem nachfolgenden Screenshot entnommen werden.
 +
 +{{:​lucom:​router:​13.mguard-ipsec-verb-ike-ii.jpg?​nolink|}} ​
 +
 +**Abb.12:** SA Lebensdauer und Grenzen ​
 +
 +Dead Peer Detection sollte ebenfalls nicht vergessen werden, zu parametrisieren. Die nachfolgenden Einstellungen haben sich vielfach bewährt. ​
 +
 +{{:​lucom:​router:​14.mguard-ipsec-verb-ike-iii.jpg?​nolink|}}
 +
 +**Abb.13:** Dead Peer Detection aktivieren ​
 +
 +Damit sind alle Einstellungen im Innominate mGuard vorgenommen und es kann mit der [[lucom:​router:​lucom_router_als_ipsec_client|Parametrisierung des LUCOM Mobilfunkrouters]] begonnen werden.
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 + 
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +----
 +
 +{{page>​[lucom:​router:​menue]}} ​
lucom/router/innominate_router_als_ipsec_server.txt · Zuletzt geändert: 2017/01/25 22:09 (Externe Bearbeitung)