Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Home
Firmware
Fehlersuche - Support


Funktionsüberblick
Signalscanner
Application Notes
Usermodule
Videos


LUCOM
Shop
Newsletter
Testgerät
Workshop
www.lucom.de
info@lucom.de


Impressum

LUCOM GmbH
Komponenten & Systeme
Flößaustraße 22a
90763 Fürth
GERMANY

Fon:  +49 911 957 60 600
Fax:  +49 911 957 60 620
E-Mail:info@lucom.de

sidebar

lucom:router:vpn-lcm-allgemein

VPN-LCM-ALLGEMEIN

Allgemeine Hinweise zur erfolgreichen IPsec Konfiguration der LUCOM Mobilfunk- und LAN-Router

Besonderheiten im Mobilfunk

Mobilfunkgeräte wie unsere Mobilfunkrouter, aber auch Smartphones, Tablet Computer usw. bekommen von den Providern keine öffentliche IP Adresse mehr zugewiesen. Der Zugriff auf die Geräte aus dem Internet ist daher prinzipiell nicht möglich und bedeutet, dass die Router die IPsec Verbindung immer als IPsec Client initieren/starten. Außerdem kann die IP Adresse am WAN Interface des Routers in der Regel nicht als Tunnel ID verwendet werden.

Erfolgreiche Lösungsansätze

Bei einer mobilen Internetanbindung haben sich zwei verschiede Lösungsansätze der IPsec Konfiguration als erfolgreich erwiesen:

  • IPsec via Main Mode mit zertifikatsbasierter Authentifizierung sowie
  • IPsec via Aggressive Mode und einem Pre-shared Key

Aus Sicherheitsgründen sollte der erste Lösungsansatz präferiert werden. Der zweite lässt sich jedoch wesentlich leichter umsetzen und soll im nächsten Kapitel kurz beschrieben werden.

Beispielkonfiguration

Die Konfiguration des IPsec Tunnels wird im Menü Configuration → IPsec vorgenommen.

Netzwerkparameter

Abb.1: Beispiel-Netzwerkparameter

Die oben gezeigten Einstellungen weisen den Router an, als Client eine IPsec Verbindung zum IPsec Server mit der IP 11.12.13.14 aufzubauen. Der IPsec Server stellt die Remote Verbindung zu seinem lokalen Netzwerk 192.168.20.0/255.255.255.0 her. Das lokale LAN Netzwerk des Mobilfunkrouters, welches via IPsec erreichbar gemacht wird ist 192.168.1.0/255.255.255.0. Als Local ID hat sich eine beliebige eMail- oder IP Adresse als praktikabel erwiesen. Wichtig ist weiterhin, dass als Encapsulation Mode = tunnel und NAT Traverel aktiviert werden.

Sinnvolle Phase 1 Parameter

Die IPsec Proposals sollte für beide Phasen manuell vorgegeben werden. Es hat sich gezeigt, dass viele als überholt/deprecated geltende Proposals wie (3DES und MD5) von IPsec Servern nicht mehr akzeptiert werden.

Abb.2: Phase 1

Abb.3: Phase 2

Lifetimes, Rekeying, DPD bezogene Parameter

Abb.4: Lifetime Einstellungen

Die Lifetimes der beiden Phasen sollten im Router denen im IPsec Server entsprechen.

Sicherheitsparameter

Abb.5: Sicherheitsparameter

damit sind die IPsec Einstellungen beendet.


lucom/router/vpn-lcm-allgemein.txt · Zuletzt geändert: 2017/01/25 22:09 (Externe Bearbeitung)