Einleitung

Die vorliegende Lösung zeigt eine Möglichkeit zur Verbindung zweier Standorte über IPSec deren IP-Netzbereiche überlappen oder identisch sind (z. B. Standort A: 192.168.1.0/24 und Standort B: 192.168.1.0/24).

In diesem Fall funktioniert IPSec nicht, da IPSec als Layer3 (IP-Layer) Protokoll zur Funktion unterschiedliche IP-Netze zwischen den zu vernetzenden Standorten erfordert. Wie in einem solchen Fall trotzdem die Sicherheit von IPSec für die Standortvernetzung genutzt werden kann zeigt dieser Workshop.

Zur Konfiguration wird hierbei das GUI™ (Graphical User Interface) verwendet.

Zur Lösung dieses Problems bietet sich L2TP (Layer2 Tunneling Protokoll) als Transportprotokoll an. L2TP bietet die Möglichkeit Bridge Verbindungen über geroutete IP-Verbindungen aufzubauen. In unserem Fall bedeutet dies, dass die Standorte über IPSec verbunden werden und der eigentliche Nutztraffic in L2TP getunnelt über die IPSec-Verbindung übertragen wird.

Beispielszenario

Die Nutzdaten werden über den L2TP-Tunnel und die L2TP-Pakete wiederum über den IPSec-Tunnel übertragen.

Voraussetzungen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Zwei bintec ADSL-Gateways z. B. bintec be.IP plus™
Ein Bootimage der Version 7.9.1.
Beide Gateways benötigen eine unabhängige Verbindung zum Internet.

Hinweise zum Test Setup

bintec be.IP plusStandort A

System-Name	be.IP_plus-1
LAN IP-Adresse	192.168.1.253
LAN IP-Subnetzmaske	255.255.255.0
Öffentliche Internet IP-Adresse	10.1.1.1 (hier kann auch ein Hostname verwendet werden)
Lokale IP-Adresse der IPSec-Schnittstelle	1.1.1.1 (eine beliebige private IP-Adresse)
Lokale IP-Adresse der L2TP-Schnittstelle	1.1.1.3

bintec be.IP plusStandort B

System-Name	be.IP_plus-2
LAN IP-Adresse	192.168.1.254
LAN IP-Subnetzmaske	255.255.255.0
Öffentliche Internet IP-Adresse	10.1.1.4 (hier kann auch ein Hostname verwendet werden)
Lokale IP-Adresse der IPSec-Schnittstelle	1.1.1.2 (eine beliebige private IP-Adresse)
Lokale IP-Adresse der L2TP-Schnittstelle	1.1.1.4