Benutzer-Werkzeuge

Webseiten-Werkzeuge


lucom:router:vpn-lcm-allgemein

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

lucom:router:vpn-lcm-allgemein [2017/01/25 22:09] (aktuell)
Zeile 1: Zeile 1:
 +====== VPN-LCM-ALLGEMEIN ======
  
 +**Allgemeine Hinweise zur erfolgreichen IPsec Konfiguration der LUCOM Mobilfunk- und LAN-Router** {{ :​lucom:​router:​dual-350.jpg?​nolink&​100|}}
 +
 +===== Besonderheiten im Mobilfunk =====
 +
 +Mobilfunkgeräte wie unsere Mobilfunkrouter,​ aber auch Smartphones,​ Tablet Computer usw. bekommen von den Providern **keine öffentliche IP Adresse** mehr zugewiesen. Der Zugriff auf die Geräte aus dem Internet ist daher prinzipiell nicht möglich und bedeutet, dass die Router die IPsec Verbindung immer als IPsec Client initieren/​starten. Außerdem kann die IP Adresse am WAN Interface des Routers in der Regel **nicht** als Tunnel ID verwendet werden.
 +
 +===== Erfolgreiche Lösungsansätze =====
 +
 +Bei einer mobilen Internetanbindung haben sich zwei verschiede Lösungsansätze der IPsec Konfiguration als erfolgreich erwiesen: ​
 +
 +  * IPsec via Main Mode mit zertifikatsbasierter Authentifizierung sowie
 +  * IPsec via Aggressive Mode und einem Pre-shared Key 
 +
 +Aus Sicherheitsgründen sollte der erste Lösungsansatz präferiert werden. Der zweite lässt sich jedoch wesentlich leichter umsetzen und soll im nächsten Kapitel kurz beschrieben werden.
 +
 +
 +===== Beispielkonfiguration =====
 +
 +Die Konfiguration des IPsec Tunnels wird im Menü **Configuration -> IPsec** vorgenommen. ​
 +
 +**Netzwerkparameter**
 +
 +{{:​lucom:​router:​01-netzwerk.png?​nolink|}}
 +
 +**Abb.1:** Beispiel-Netzwerkparameter
 +
 +Die oben gezeigten Einstellungen weisen den Router an, als Client eine IPsec Verbindung zum IPsec Server mit der IP 11.12.13.14 aufzubauen. Der IPsec Server stellt die Remote Verbindung zu seinem lokalen Netzwerk 192.168.20.0/​255.255.255.0 her. Das lokale LAN Netzwerk des Mobilfunkrouters,​ welches via IPsec erreichbar gemacht wird ist 192.168.1.0/​255.255.255.0. Als Local ID hat sich eine beliebige eMail- oder IP Adresse als praktikabel erwiesen. Wichtig ist weiterhin, dass als Encapsulation Mode = tunnel und NAT Traverel aktiviert werden. ​
 +
 +==== Sinnvolle Phase 1 Parameter ====
 +
 +Die IPsec Proposals sollte für beide Phasen manuell vorgegeben werden. Es hat sich gezeigt, dass viele als überholt/​deprecated geltende Proposals wie (3DES und MD5) von IPsec Servern nicht mehr akzeptiert werden. ​
 +
 +{{:​lucom:​router:​01-netzwerk.png?​nolink|}}
 +
 +**Abb.2**: Phase 1
 +
 +{{:​lucom:​router:​03-phase2.png?​nolink|}}
 +
 +**Abb.3:** Phase 2
 +
 +**Lifetimes,​ Rekeying, DPD bezogene Parameter**
 +
 +{{:​lucom:​router:​04-lifetimes.png?​nolink|}}
 +
 +**Abb.4:** Lifetime Einstellungen
 +
 +Die Lifetimes der beiden Phasen sollten im Router denen im IPsec Server entsprechen.
 +
 +
 +**Sicherheitsparameter**
 +
 +{{:​lucom:​router:​05-sicherheit.png?​nolink|}}
 +
 +**Abb.5:** Sicherheitsparameter
 +
 +damit sind die IPsec Einstellungen beendet. ​
 +
 +
 +----
 +
 +{{page>​[lucom:​router:​menue]}} ​
lucom/router/vpn-lcm-allgemein.txt · Zuletzt geändert: 2017/01/25 22:09 (Externe Bearbeitung)