Konfiguration am zweiten Router (Standort B)

DynDNS-Account einrichten

Im Menü DynDNS-Aktualisierung wird eine Liste aller konfigurierten DynDNS-Registrierungen angezeigt. Wählen Sie die Schaltfläche Neu, um weitere DynDNS-Registrierungen vorzunehmen.

  1. Gehen Sie zu Lokale Dienste -> DynDNS-Client -> DynDNS-Aktualisierung -> Neu.

Lokale Dienste -> DynDNS-Client -> DynDNS-Aktualisierung -> Neu

Gehen Sie folgendermaßen vor:

  1. Unter Hostname tragen Sie den vollständigen Hostnamen ein, wie er beim DynDNS-Provider registriert ist, z. B. test2.dyndns.org .

  2. Wählen Sie die WAN-Schnittstelle aus, deren IP-Adresse über den DynDNS-Service propagiert werden soll (z. B. DSL ISP , die Schnittstelle des Internet Service Providers).

  3. Geben Sie den Benutzernamen ein, wie er beim DynDNS-Provider registriert ist.

  4. Geben Sie das Passwort ein, wie es beim DynDNS-Provider registriert ist.

  5. Wählen Sie den DynDNS-Provider aus, bei dem oben genannte Daten registriert sind.

  6. Aktivieren Sie die Funktion Aktualisierung aktivieren, der hier konfigurierte DynDNS-Eintrag wird aktiviert.

  7. Bestätigen Sie mit OK.

IPSec-Peer-Konfiguration

Als Peer wird ein Endpunkt einer Kommunikation in einem Computernetzwerk bezeichnet.

Wählen Sie die Schaltfläche Neu, um einen neue IPSec-Peer einzurichten.

  1. Gehen Sie zu VPN -> IPSec -> IPSec-Peers -> Neu.

VPN -> IPSec -> IPSec-Peers -> Neu

Gehen Sie folgendermaßen vor, um die Einstellungen für den IPSec-Peer vorzunehmen:

  1. Stellen Sie den Administrativer Status auf Aktiv. Der Peer steht nach dem Speichern der Konfiguration sofort für den Aufbau eines Tunnels zur Verfügung.

  2. Geben Sie eine Beschreibung des Peers ein, die diesen identifiziert.

  3. Geben Sie die Peer-Adresse der Gegenstelle an (hier der DynDNS Account der bi.IP).

  4. Die Peer-ID muss mit dem Lokalen ID-Wert der Gegenstelle übereinstimmen. Wählen Sie Full Qualified Domain Name (FQDN) aus und geben Sie eine Identifikation für den Partner ein, z. B. be.IP_test1 .

  5. Bei Preshared Key geben Sie ein Passwort für die verschlüsselte Verbindung ein.

  6. Wählen Sie bei IPv4-Adressvergabe Statisch aus.

  7. Deaktivieren Sie die Option Standardroute.

  8. Die Lokale IP-Adresse ist die IP-Adresse der LAN-Schnittstelle des Routers.

  9. Tragen Sie bei Entfernte IP-Adresse das zu erreichende Partnernetz, z. B. 192.168.100.0 und in Netzmaske 255.255.255.0 ein.

  10. Bestätigen Sie Ihre Eingaben mit OK.

Phase-1-Profile

Im Menü Phase-1-Profile können Sie die Phase 1 (IKE) Einstellungen festlegen. Klicken Sie auf das -Symbol, um vorhanden Einträge zu bearbeiten. Wählen Sie die Schaltfläche Neu, um neue Profile hinzuzufügen.

  1. Gehen Sie zu VPN -> IPSec -> Phase-1-Profile -> Neu.

VPN -> IPSec -> Phase-1-Profile -> Neu

Gehen Sie folgendermaßen vor:

  1. Geben Sie eine Beschreibung ein, welche die Art der Regel eindeutig identifiziert.

  2. Wählen Sie bei Proposals Verschlüsselung Blowfish und bei Authentifizierung MD5 ein. Da immer mindestens ein Proposal konfiguriert sein muss, ist der erste Eintrag der Liste standardmäßig aktiviert.

  3. Wählen Sie bei DH-Gruppe 2 (1024 Bit) aus.

  4. Legen Sie die Lebensdauer für Phase-1-Schlüssel fest. Geben Sie für die Lebensdauer 900 Sekunden ein. Geben Sie für die Lebensdauer als Menge der verarbeitenden Daten 0 KByts an.

  5. Wählen Sie die Authentifizierungsmethode Preshared Keys aus.

  6. Den Modus stellen Sie auf Aggressiv da Sie dynamische IP-Adressen nutzen.

  7. Unter Lokaler ID-Typ wählen Sie Fully Qualified Domain Name (FQDN) aus.

  8. Unter Lokaler ID-Wert geben Sie die lokale ID des Gateways ein, z. B. be.IP_test2 (steht beim Partner unter Peer-ID).

  9. Klicken Sie auf Erweiterte Einstellungen.

  10. Wählen Sie bei Erreichbarkeitsprüfung Dead Peer Detection (Idle) aus.

  11. Legen Sie unter Blockzeit fest, wie lange ein Peer für Tunnelaufbauten blockiert wird, nachdem ein Phase-1-Tunnelaufbau fehlgeschlagen ist.

  12. Belassen Sie NAT-Traversal auf Aktiviert.

  13. Bestätigen Sie mit OK.

Phase-2-Profile

Ebenso wie für Phase 1 können Sie Profile für die Phase 2 des Tunnelaufbaus definieren. Klicken Sie auf das -Symbol, um vorhanden Einträge zu bearbeiten. Wählen Sie die Schaltfläche Neu, um neue Profile hinzuzufügen.

  1. Gehen Sie zu VPN -> IPSec -> Phase-2-Profile -> Neu.

VPN -> IPSec -> Phase-2-Profile -> Neu

Gehen Sie folgendermaßen vor:

  1. Geben Sie eine Beschreibung ein, die das Profil eindeutig identifiziert.

  2. Wählen Sie bei Proposals Verschlüsselung Blowfish , bei Authentifizierung MD5 . Da immer mindestens ein Proposal konfiguriert sein muss, ist der erste Eintrag der Liste standardmäßig aktiviert.

  3. Aktivieren Sie die Option PFS-Gruppe verwenden und wählen Sie 2 (1024 Bit) aus.

  4. Legen Sie die Lebensdauer für Phase-2-Schlüssel fest. Geben Sie für die Lebensdauer 900 Sekunden ein. Geben Sie für die Lebensdauer als Menge der verarbeitenden Daten 0 KByts an.

  5. Klicken Sie auf Erweiterte Einstellungen.

  6. Wählen Sie bei Erreichbarkeitsprüfung Heartbeats (Senden & Erwarten) aus.

  7. Aktivieren Sie PMTU propagieren.

  8. Bestätigen Sie mit OK.

Copyright© Version 01/2020 bintec elmeg GmbH