Konfigurationsschritte im Überblick

Lokale IP-Adresse konfigurieren

Feld	Menü	Wert
Adressmodus	LAN -> IP-Konfiguration -> Schnittstellen -> Bearbeiten	`Statisch`
IP-Adresse / Netzmaske	LAN -> IP-Konfiguration -> Schnittstellen -> Bearbeiten	z. B. `192.168.10.254` / `255.255.255.0`
Schnittstellenmodus	LAN -> IP-Konfiguration -> Schnittstellen -> Bearbeiten	Manuell
Proxy ARP	LAN -> IP-Konfiguration -> Schnittstellen -> Bearbeiten	Aktiviert

VPN Konfiguration

Feld	Menü	Wert
IP-Poolname	VPN -> IPSec -> IP Pools -> Hinzufügen	z. B. `VPNClient-Pool`
IP-Poolbereich	VPN -> IPSec -> IP Pools -> Hinzufügen	z. B. `192.168.10.150` - `192.168.10.180`

XAUTH Konfiguration

Feld	Menü	Wert
Beschreibung	VPN -> IPSec -> XAUTH-Profile -> Neu	z. B. `radius_server`
Rolle	VPN -> IPSec -> XAUTH-Profile -> Neu	`Server`
Modus	VPN -> IPSec -> XAUTH-Profile -> Neu	`RADIUS`

IPSec-Peers Konfiguration

Feld	Menü	Wert
Administrativer Status	VPN -> IPSec -> IPSec-Peers ->	`Aktiv`
Beschreibung	VPN -> IPSec -> IPSec-Peers ->	z. B. `VPNClient1`
Peer-ID	VPN -> IPSec -> IPSec-Peers ->	`E-Mail-Adresse` / `client1@bintec-elmeg.com`
Preshared Key	VPN -> IPSec -> IPSec-Peers ->	z. B. `bintec elmeg`
IP-Adressenvergabe	VPN -> IPSec -> IPSec-Peers ->	`IKE-Konfigurationsmodus`
IP-Zuordnungspool	VPN -> IPSec -> IPSec-Peers ->	`VPNClient-Pool`
Lokale IP-Adresse	VPN -> IPSec -> IPSec-Peers ->	z. B. `192.168.10.254`
Phase-1-Profil	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`Keines (Standardprofil verwenden)`
Phase-2-Profil	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`Keines (Standardprofil verwenden)`
XAUTH-Profil	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`radius_server`
Startmodus	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`Auf Anforderung`
Überprüfung der Rückroute	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	Deaktiviert
Proxy ARP	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`Aktiv oder Ruhend`
Modus	VPN -> IPSec -> IPSec-Peers -> -> Erweiterte Einstellungen	`Inaktiv`

Phase-1-Profile Konfiguration

Feld	Menü	Wert
Modus	VPN -> IPSec -> Phase-1-Profile ->	`Aggressiv`
Lokaler ID-Typ	VPN -> IPSec -> Phase-1-Profile ->	`E-Mail-Adresse`
Lokaler ID-Wert	VPN -> IPSec -> Phase-1-Profile ->	z. B. `zentrale@bintec-elmeg.com`

RADIUS-Einstellungen

Feld	Menü	Wert
Authentifizierungstyp	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	`XAuth`
Server-IP-Adresse	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	z. B. `192.168.10.100`
RADIUS-Passwort	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	z. B. `bintec elmeg`
Gruppenbeschreibung	Systemverwaltung -> Remote Authentifizierung -> RADIUS -> Neu	z. B. `xauth`

Konfiguration des Windows 2003 RADIUS Servers

Feld	Menü	Wert
Friendly name	New RADIUS Client	`R3000`
Client address (IP or DNS)	New RADIUS Client	`192.168.10.254`
Client-Vendor	New RADIUS Client	z. B. `BinTec Comunications GmbH`
Shared secret	New RADIUS Client	z. B. `bintec elmeg`
Confirm shared secret	New RADIUS Client	z. B. `bintec elmeg`
Policy name	New Remote Access Policy Wizard	z. B. `VPN_Client_Access`
Policy conditions	New Remote Access Policy Wizard	z. B. `Client-Vendor matches "BinTec Communications GmbH"`
Grant remote acces permission	New Remote Access Policy Wizard	Aktiviert
Edit Profile	New Remote Access Policy Wizard	Aktiviert
Idle Timeout	Edit Dial-in Profile	`10 Minuten`
Authentication	Edit Dial-in Profile	`Unencrypted authentication (PAP, SPAP)`
Encryption	Edit Dial-in Profile	`No encryption`
Dial-in	user 1 Properties	`Allowed acces`

Konfiguration des bintec Secure IPSec Clients

Feld	Menü	Wert
Verbindungstyp	Assistent für neues Profil	`Verbindung zum Firmennetz über IPSec`
Profil-Name	Assistent für neues Profil	`Zentrale`
Verbindungsmedium	Assistent für neues Profil	`LAN (over IP)`
Gateway (Tunnel-Endpunkt)	Assistent für neues Profil	z. B. `vpngateway.bintec-elmeg.com`
Erweiterte Authentifizierung (XAUTH)	Assistent für neues Profil	Aktiviert
Austausch-Modus	Assistent für neues Profil	Aggressive Mode
PFS-Gruppe	Assistent für neues Profil	DH-Gruppe 2 (1024 Bit)
Shared Secret	Assistent für neues Profil	z. B. `bintec elmeg`
Shared Secret (Wiederholung)	Assistent für neues Profil	z. B. `bintec elmeg`
Typ	Assistent für neues Profil	z. B. `Fully Qualified Username`
ID	Assistent für neues Profil	z. B. `client1@bintec-elmeg.com`
IP-Adressen-Zuweisung	Assistent für neues Profil	`IKE Config Mode verwenden`
Stateful Inspection	Assistent für neues Profil	`aus`
NetBIOS über IP	Assistent für neues Profil	Aktiviert

Copyright© Version 01/2020 bintec elmeg GmbH