Konfiguration des VPN-Gateways

Lokale IP-Adresse des VPN-Gateways

Das VPN-Gateway wird in unserem Beispiel mit der IP-Adresse 192.168.0.30 betrieben. Um dem bintec Secure IPSec Client™ eine IP-Adresse aus diesem Netzwerkbereich zuweisen zu können muss die Option Proxy ARP aktiviert werden.

Gehen Sie dazu in folgendes Menü:

Gehen Sie zu LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0> .

LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>

Relevante Felder im Menü Schnittstellen

Feld	Beschreibung
IP-Adresse / Netzmaske	Fügen Sie mit Hinzufügen einen neuen Adresseintrag hinzu und geben Sie die IP-Adresse und die entsprechende Netzmaske der Schnittstelle ein.
Proxy ARP	Aktivieren Sie die Option Proxy ARP.

RADIUS-Einstellungen

Mit den Einstellungen im Menü RADIUS wird die erweiterte IPSec-Authentifizierung (XAuth) mit dem RADIUS-Server des KOBIL SecOVID™ Servers aktiviert. Es ist notwendig den Authentifizierungstyp auf den Wert XAUTH zu setzen sowie die IP-Adresse des KOBIL SecOVID™ Servers zu hinterlegen. Die Kommunikation mit dem RADIUS-Server wird mit einem Passwort geschützt. Bitte verwenden Sie hier das am SecOVID Server hinterlegte RADIUS-Passwort (Konfigurationsdatei \etc\SecOVID\clients).

Gehen Sie zu Systemverwaltung -> Remote Authentifizierung -> RADIUS.

Systemverwaltung -> Remote Authentifizierung -> RADIUS

Relevante Felder im Menü RADIUS

Feld	Beschreibung
Authentifizierungstyp	Wählen Sie den Authentifizierungstyp `XAUTH` aus.
Server-IP-Adresse	Geben Sie die Server-IP-Adresse des KOBIL SecOVID™ Servers ein.
RADIUS-Passwort	Geben Sie das für die Kommunikation zwischen RADIUS-Server und Ihrem Gerät gemeinsam genutzte Passwort ein, hier z. B. `radius_PWD` .
Gruppenbeschreibung	Definieren Sie eine neue RADIUS-Gruppenbeschreibung bzw. weisen Sie den neuen RADIUS-Eintrag einer schon definierten Gruppe zu. Die konfigurierten RADIUS-Server einer Gruppe werden gemäß der Priorität und der Richtlinie abgefragt. Mögliche Werte: `Neu` (Standardwert): Tragen Sie in das Textfeld eine neue Gruppenbeschreibung ein <Gruppenname>: Wählen Sie aus der Liste eine schon definierte Gruppe aus, z. B. `xauth` .

VPN-Konfiguration

Im Menü IP Pools wird ein IP-Adress-Pool spezifiziert aus dem allen VPN-Clients beim Aufbau des Tunnels eine Adresse zugewiesen wird. In unserem Beispiel wird ein Bereich aus dem lokalen Netzwerk gewählt z. B. 192.168.0.150 bis 192.168.0.180 .

Gehen Sie zu VPN -> IPSec -> IP Pools -> Hinzufügen.

VPN -> IPSec -> IP Pools -> Hinzufügen

Relevante Felder im Menü IP Pools

Feld	Bedeutung
IP-Poolname	Geben Sie die Bezeichnung des IP Pools ein.
IP-Poolbereich	Geben Sie im ersten Feld die erste IP-Adresse aus dem lokalen Netzwerk ein. Geben Sie im zweiten Feld die letzte IP-Adresse aus dem lokalen Netzwerk ein.

Feld

Bedeutung

IP-Poolname

Geben Sie die Bezeichnung des IP Pools ein.

IP-Poolbereich

Geben Sie im ersten Feld die erste IP-Adresse aus dem lokalen Netzwerk ein.

Geben Sie im zweiten Feld die letzte IP-Adresse aus dem lokalen Netzwerk ein.

XAUTH-Konfiguration

Für die Erweiterte IPSec-Authentifizierung (XAuth) soll ein RADIUS-Server verwendet werden. Die hierfür notwendigen Einstellungen werden im Menü XAUTH-Profile vorgenommen.

Gehen Sie zu VPN -> IPSec -> XAUTH-Profile -> Neu.

VPN -> IPSec -> XAUTH-Profile -> Neu

Relevante Felder im Menü XAUTH-Profile

Feld	Bedeutung
Beschreibung	Geben Sie eine Beschreibung für die IPSec-Authentifizierung ein, z. B. `radius` .
Rolle	Wählen Sie hier `Server` aus.
Modus	Bei Modus wählen Sie `RADIUS` aus.
RADIUS-Server Gruppen-ID	Wählen Sie den RADIUS-Server `xauth` aus.

IPSec-Peers-Konfiguration

Im Menü IPSec-Peers wird eine Multiuser VPN-Verbindung angelegt die den Verbindungsaufbau mehrerer bintec Secure IPSec Clients™ ermöglicht. Wenn die Multiuser VPN IPsec-Verbindung mit Preshared-Keys Authentifiziert werden soll, wird auf allen bintec Secure IPsec Clients™ der gleiche Preshared-Key verwendet. Bei den Multiuser VPN-Verbindungen wird im Feld Peer ID keine ID-Information hinterlegt.

Wählen Sie die Schaltfläche Neu, um den IPSec-Peer einzurichten.

Gehen Sie zu VPN -> IPSec -> IPSec-Peers -> .

VPN -> IPSec -> IPSec-Peers ->

Relevante Felder im Menü IPSec-Peers

Feld	Bedeutung
Administrativer Status	Stellen Sie den Administrativen Status auf Aktiv. Der Peer steht nach dem Speichern der Konfiguration sofort für den Aufbau eines Tunnels zur Verfügung.
Beschreibung	Geben Sie eine Beschreibung des Peers ein, die diesen identifiziert.
Peer-ID	Wählen Sie den ID-Typ aus. Mögliche ID-Typen: Full Qualified Domain Name (FQDN) E-Mail-Adresse IVP4-Adresse ASN.1-DN (Distinguished Name)
Preshared Key	Bei Preshared Key geben Sie das mit dem Peer vereinbarte Passwort ein.
IP-Adressenvergabe	Wählen Sie den Konfigurationsmodus der Schnittstelle aus. Bei Auswahl der Option `IKE-Konfigurationsmodus` wählen Sie eine IP-Adresse aus dem konfigurierten IP-Pool aus.
IP-Zuordnungspool	Wählen Sie einen im Menü VPN -> IP Pools konfigurierten IP-Pool aus. Falls hier noch kein IP-Pool konfiguriert wurde, erscheint in diesem Feld die Meldung `Noch nicht definiert` .
Lokale IP-Adresse	Geben Sie die WAN IP-Adresse Ihrer IPSec-Verbindung an. Es kann die gleiche IP-Adresse sein, die als LAN IP-Adresse an Ihrem Router konfiguriert ist.

Das Menü Erweiterte Einstellungen besteht aus folgenden Feldern:

Relevante Felder im Menü Erweiterte Einstellungen

Feld	Bedeutung
Phase-1-Profil	Mit Auswahl von `Keines (Standardprofil verwenden)` wird das in Phase-1-Profile als Standard markiertes Profil verwendet.
Phase-2-Profil	Mit Auswahl von `Keines (Standardprofil verwenden)` wird das in Phase-2-Profile als Standard markiertes Profil verwendet.
XAUTH-Profil	Wählen Sie hier ein konfiguriertes XAUTH-Profil (z. B. `radius` ) aus.
Startmodus	Hier können Sie auswählen, wie der Peer in den aktiven Zustand versetzt werden soll. Mit Auswahl von `Auf Anforderung` wird der Peer durch einen Trigger in den aktiven Zustand versetzt.
Überprüfung der Rückroute	Hier wird festgelegt, ob für die Schnittstelle zum Verbindungspartner eine Überprüfung der Rückroute aktiviert werden soll.
Proxy ARP	Stellen Sie Proxy ARP auf `Aktiv oder Ruhend` . Ihr Gerät beantwortet einen ARP-Request nur, wenn der Status der Verbindung zum IPSec Peer aktiv oder ruhend ist. Bei `ruhend` beantwortet Ihr Gerät lediglich den ARP-Request, der Verbindungsaufbau erfolgt erst, wenn jemand tatsächlich die Route nutzen will.
Modus	Stellen Sie den Modus des IPSec-Callback auf `Inaktiv` . Das lokale Gerät reagiert weder auf eingehende ISDN-Rufe noch initiiert es ISDN-Rufe zum entfernten Gerät.

Phase-1-Profile

Im Menü Phase-1-Profile wird der Aggressive Modus aktiviert und der Lokaler ID-Wert des VPN-Gateways gesetzt. Klicken Sie auf das -Symbol, um vorhanden Einträge zu bearbeiten. Wählen Sie die Schaltfläche Neu, um neue Profile hinzuzufügen.

Gehen Sie zu VPN -> IPSec -> Phase-1-Profile -> Bearbeiten .

VPN -> IPSec -> Phase-1-Profile -> Bearbeiten

Relevante Felder im Menü Phase-1-Profile

Feld Bedeutung

Modus

Feld	Bedeutung
Modus	Wählen Sie den Phase-1-Modus `Aggressiv` aus. Der Aggressive Modus ist erforderlich, falls einer der Peers keine statische IP-Adresse hat und Preshared Keys für die Authentifizierung genutzt werden; er erfordert nur drei Meldungen für die Einrichtung eines sicheren Kanals.
Lokaler ID-Wert	Geben Sie die ID des VPN-Gateways ein, z. B. `vpngateway.bintec-elmeg.com`

Wählen Sie den Phase-1-Modus Aggressiv aus.

Der Aggressive Modus ist erforderlich, falls einer der Peers keine statische IP-Adresse hat und Preshared Keys für die Authentifizierung genutzt werden; er erfordert nur drei Meldungen für die Einrichtung eines sicheren Kanals.

Lokaler ID-Wert Geben Sie die ID des VPN-Gateways ein, z. B. vpngateway.bintec-elmeg.com

Phase-2-Profile

Die Einstellungen im Menü VPN -> IPSec -> Phase-2-Profile -> Bearbeiten können unverändert übernommen werden.

VPN -> IPSec -> Phase-2-Profile -> Bearbeiten