Konfiguration des VPN-Gateways |
Das VPN-Gateway wird in diesem Beispiel mit der IP-Adresse 192.168.0.30 betrieben. Um dem bintec Secure IPSec Client™ eine IP-Adresse aus diesem Netzwerkbereich zuweisen zu können muss die Option Proxy ARP aktiviert werden.
Gehen Sie dazu in folgendes Menü:
Gehen Sie zu
LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>
.
LAN -> IP-Konfiguration -> Schnittstellen -> <en1-0>
Relevante Felder im Menü Schnittstellen
Feld | Bedeutung |
---|---|
IP-Adresse / Netzmaske | Fügen Sie mit Hinzufügen einen neuen Adresseintrag hinzu und geben Sie die IP-Adresse und die entsprechende Netzmaske der Schnittstelle ein. |
Proxy-ARP | Aktivieren Sie die Option Proxy ARP. |
Im Menü IP Pools wird ein IP-Address Pool spezifiziert, aus dem allen VPN-Clients beim Aufbau des Tunnels eine Adresse zugewiesen wird. In unserem Beispiel wird ein Bereich aus dem lokalen Netzwerk gewählt z. B. 192.168.0.150 bis 192.168.0.180 .
Gehen Sie zu VPN -> IPSec -> IP Pools -> Hinzufügen.
VPN -> IPSec -> IP Pools -> Hinzufügen
Relevante Felder im Menü IP Pools
Feld | Bedeutung |
---|---|
IP-Poolname | Geben Sie die Bezeichnung des IP Pools ein, z. B. pool . |
IP-Poolbereich |
Geben Sie im ersten Feld die erste IP-Adresse aus dem lokalen Netzwerk ein. Geben Sie im zweiten Feld die letzte IP-Adresse aus dem lokalen Netzwerk ein. |
Zur VPN IPsec-Authentifizierung wurde für jeden der bintec Secure IPSec Clients™ sowie des VPN-Gateways je ein PKCS#12 Zertifikat erstellt. Das Zertifikat des VPN-Gateways wird über das Menü Zertifikatsliste importiert.
Gehen Sie zu VPN -> Zertifikate -> Zertifikatsliste -> Importieren.
VPN -> Zertifikate -> Zertifikatsliste -> Importieren
Relevante Felder im Menü Zertifikatsliste
Feld | Bedeutung |
---|---|
Externer Dateiname | Wählen Sie mit Durchsuchen... den Dateipfad bzw. Dateiname des PKCS#12 Zertifikats aus. |
Lokale Zertifikatsbeschreibung | Geben Sie eine Bezeichnung unter der das Zertifikat im VPN-Gateway gespeichert wird ein, z. B. vpn-gateway . |
Passwort | Geben Sie das Passwort ein, das beim Erstellen des PKCS#12 Zertifikats vergeben wurde. |
Nach dem Importiern des PKCS#12 Kontainers sehen Sie in der Zertifikatsliste das eingefügte Zertifikat des VPN-Gateway und das Root Zertifiakat der Zertifizierungsstelle.
Gehen Sie zu VPN -> Zertifikate -> Zertifikatsliste.
VPN -> Zertifikate -> Zertifikatsliste
Im Menü Phase-1-Profile wird anschließend das importierte Zertifikat (z. B. vpn-gateway) als Lokales Zertifikat ausgewählt.
Gehen Sie zu
VPN -> IPSec -> Phase-1-Profile -> Bearbeiten
.
VPN -> IPSec -> Phase-1-Profile -> Bearbeiten
Relevante Felder im Menü Phase-1-Profile
Feld | Bedeutung |
---|---|
Authentifizierungsmethode | Wählen Sie bei Authentifizierungsmethode RSA-Signatur aus. Phase-1-Schlüsselberechnungen werden unter Nutzung des RSA-Algorithmus authentifiziert. |
Lokales Zertifikat | Dieses Feld ermöglicht Ihnen, das importierte Zertifikat (z. B. vpn-gateway) als Lokales Zertifikat auszuwählen. |
Modus | Mit der Option Main Modus (ID Protect) wird sichergestellt, dass bereits die Daten zur Aushandlung der IPSec-Phase-1 verschlüsselt übertragen werden. |
Lokaler ID-Wert | Wenn Sie die Option Subjektname aus Zertifikat verwenden aktivieren, wird der Subject Name des VPN-Gateway-Zertifikats (in unserem Beispiel: "MAILTO=vpn-gateway@bintec-elmeg.com, CN=vpn-gateway, OU=dev, O=fec, L=nuernberg, ST=bavaria, C=DE") als lokale IPSec-ID verwendet. |
Die Einstellungen im Menü
VPN -> IPSec -> Phase-2-Profile -> Bearbeiten
können unverändert übernommen
werden.
VPN -> IPSec -> Phase-2-Profile -> Bearbeiten
Im Menü IPSec-Peers wird für jeden bintec Secure IPSec Client™ eine VPN-Verbindung angelegt.
Gehen Sie zu
VPN -> IPSec -> IPSec-Peers -> Bearbeiten
.
VPN -> IPSec -> IPSec-Peers -> Bearbeiten
Relevante Felder im Menü IPSec-Peers
Feld | Bedeutung |
---|---|
Beschreibung | Geben Sie eine Beschreibung des Peers ein, die diesen identifiziert, z. B. vpnclient1 . |
Peer-ID |
Als
Peer-ID wird der
Subjektname des VPN-Client-Zertifiates mit dem Typ
ASN.1-DN (Distinguished Name)
hinterlegt. Dieser
Subjektname wurde bei der Generierung der Zertifikate, welche für die
bintec Secure IPSec Clients™ erstellt wurden, vergeben. Für den ersten
VPN Peer wird in diesem Beispiel folgender Subjektname hinterlegt:
|
IP-Adressenvergabe |
Wählen Sie hier den Konfigurationsmodus IKE-Konfigurationsmodus aus. |
IP-Zuordnungspool | Wählen Sie einen im Menü VPN -> IP Pools konfigurierten IP-Pool aus. |
Lokale IP-Adresse | Weißen Sie dem bintec Secure IPSec Client™ eine IP-Adresse zu. |
Das Menü Erweiterte Einstellungen besteht aus folgenden Feldern:
Relevante Felder im Menü Erweiterte Einstellungen
Feld | Bedeutung |
---|---|
Phase-1-Profil | Wählen Sie ein schon im Menü Phase-1-Profile konfiguriertes Profil, z. B. RSA Multiproposal für die Phase 1 aus. |
Phase-2-Profil | Wählen Sie ein schon im Menü Phase-2-Profile konfiguriertes Profil, z. B. Multi-Proposal für die Phase 1 aus. |
Proxy ARP |
Stellen Sie Proxy ARP auf Aktiv oder Ruhend . Ihr Gerät beantwortet einen ARP-Request nur, wenn der Status der Verbindung zum IPSec Peer aktiv oder ruhend ist. Bei ruhend beantwortet Ihr Gerät lediglich den ARP-Request, der Verbindungsaufbau erfolgt erst, wenn jemand tatsächlich die Route nutzen will. |
Copyright© Version 01/2020 bintec elmeg GmbH |