Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Tutorials

VPN-Tunnel zwischen IPCop und LANCOM-Router

Mit einem Site-to-Site VPN lassen sich die IP-Netzwerke von zwei Standorten mitander verbinden. Geräte wie Server, Netzwerkfestplatten und Telefonanlagen sind damit aus beiden vernetzten Standorten erreichbar. Zum Aufbau eines Site-to-Site VPN dürfen sich die IP-Netze der Standorte nicht überlappen. Jeder Standort benötigt einen VPN-Router.

Dieses Tutorial beschreibt den Aufbau einer LAN-LAN-Kopplung mit einem IPCop auf einem Dell PowerEdge und einen LANCOM DSL/I-1611 Office. Jeder Router benötigt eine statische WAN-IP oder einen Hostnamen (z.B. von DynDNS). Im Beipiel kommt IPSec mit ESP im Main Mode zum Einsatz.

IPCop ist eine freie Software zum Aufbau von Firewalls, Routern und VPN-Gateways. Das Linux-System läuft auf gängiger PC-Hardware und auch in virtuellen Maschinen wie VirtualBox. Für diese Tutorial kam IPCop 1.4.21 zum Einsatz.

LANCOM pflegt sein Betriebssystem LCOS auch für viele ältere Router weiter. Hier wurde ein LANCOM DSL/I-1611 Office mit LCOS 7.60 benutzt.

VPN Netzwerkaufbau

In unserem Beispiel verbindet der VPN-Tunnel die beiden Standorte Brixen und Aachen. Als IP-Adressen kommen private Adressen entsprechend RFC 1918 zum Einsatz. Das IP-Netz 172.16.1.0/24 aus Brixen soll mit dem Netz 10.0.0.0/24 in Aachen verbunden werden.

Netzwerkaufbau IPCop und LANCOM

VPN Parameter

Der VPN-Tunnel wird mit den folgenden Parametern aufgebaut.


1

2

Standort


Brixen

Aachen

Gerät


IPCop auf Dell PowerEdge

LANCOM DSL/I-1611 Office

Rolle


VPN-Gateway

VPN-Gateway

WAN-IP oder Hostname

A

192.168.178.20

192.168.178.67

Lokales IP-Netz / Maske

B

172.16.1.0/24

10.0.0.0/24

Pre Shared Key PSK

C

verys3cret+key

Austauschverfahren

D

Main Mode

Dead Peer Detection (DPD)

E

aktiviert

Identifier Type

F

IP-Adresse

IP-Adresse

Identifier

G

192.168.178.20

192.168.178.67





Phase 1

Lifetime

H

3600 sec

Verschlüsselung

I

Blowfish 128 Bit

Hashalgorithmus

J

SHA1

Diffie-Hellman-Gruppe

K

DH-Group 5 MODP 1536


Phase 2

Lebensdauer

L

3600 sec

Verschlüsselung

M

Blowfish 128 Bit

Hashalgorithmus

N

SHA1

Perfect Forward Secrecy

O

DH-Group 5 MODP 1536

Bitte wählen Sie für den produktiven Einsatz einen möglichst starken PSK oder setzen Sie Zertifikate ein.

VPN auf IPCop konfigurieren

IPCop realisiert IPsec unter Einsatz von openswan. Gehen Sie auf

VPNs >> VPNs

und aktivieren Sie IPSec auf dem IPCop. Tragen Sie die WAN-IP (rotes Interface) ein.

Globale Einstellungen für VPN

Nun können Sie eine neue VPN-Verbindung hinzufügen:

neue IPSec-Verbindung im IPCop

Tragen Sie die WAN-IP des LANCOM, die beiden IP-Netze und den Pre Shared Key ein. Klicken Sie auf Erweitert, um die Proposals festzulegen.

VPN Proposals einstellen

Stellen Sie Phase 1 (IKE) und Phase 2 (IPSec/ESP) entsprechend der Tabelle auf Blowfish 128 Bit, SHA1 und DH-Gruppe 5. Der aktive VPN-Tunnel sollte so aussehen:

aktiver VPN Tunnel im IPCop

Vorher muss aber noch der Tunnel auf dem LANCOM eingerichtet werden.

VPN auf dem LANCOM-Router einrichten

Für die Ersteinrichtung der VPN-Verbindung kann man den Wizard von LCOS benutzen. Gehen Sie im Webinterface des Routers auf

Setup-Wizard >> Zwei lokale Netze verbinden

Im Schritt 1 wählen Sie "VPN über eine Internet-Verbindung" aus.
Im Schritt 2 beantworten Sie die Frage "Verfügt die Gegenseite ebenfalls über einen ISDN-Anschluss?" mit Nein.
Schritt 3 bestätigen Sie mit "Beide Seiten haben eine feste IP-Adresse oder DNS-auflösbare Namen".
Im vierten Schritt können Sie das Feld leer lassen.
Im Schritt 5 geben Sie eine Bezeichnung für den entfernten Router (Brixen) ein.
Im Schritt 6 wählen Sie "Gemeinsames Passwort (Preshared Key)".
In Schritt 7 geben Sie den PSK ein.
Im achten Schritt aktivieren Sie "Optimierter Verbindungsaufbau (IKE- und PFS-Gruppe 2)". Diese Einstellungen werden wir später anpassen.
Für einen permanenten VPN-Tunnel wählen Sie "Die Verbindung wird initial sowie bei einer Unterbrechung sofort wieder aufgebaut und unbegrenzt aufrecht erhalten." in Schritt 9.
In Schritt 10 werden die WAN-IP und das LAN des IPCop eingetragen.

LANCOM VPN Wizard Schritt 10

Schritt 11 und 12 überspringen wir einfach. In Schritt 13 wird die Konfiguration beendet. Die so erzeugte VPN-Verbindung können wir jetzt überprüfen und anpassen. Zuerst passen wir die IKE-Proposals an den IPCop an. Gehen Sie auf

Konfiguration >> VPN >> IKE-Parameter >> IKE-Proposal-Listen >> Hinzufügen

Erstellen Sie eine neue Liste die nur ein IKE-Vorschlag mit Blowfish und SHA1 enthält. Die anderen Einträge der Liste bleiben leer (andere Wahl).

LANCOM VPN IKE Proposals

Die passenden IPSec-Proposals erstellen Sie unter

Konfiguration >> VPN >> IPSec-Parameter >> IPSec-Proposal-Listen >> Hinzufügen

Erstellen Sie hier eine Liste die nur Blowfish und SHA enthält.

IPSec Vorschlag

Gehen Sie auf

Konfiguration >> VPN >> Allgemein >> Verbindungs-Parameter

Hier finden Sie einen durch den Wizard angelegten Parametersatz. Klicken Sie diesen an.

VPN Verbindungsparameter

Setzen Sie die DH-Gruppe für IKE und PFS jeweils auf 5. Tragen Sie für die IKE- und IPSec-Proposals die vorher angelegten Listen ein. Der VPN-Tunnel ist damit fertig eingerichtet.

Fehlersuche

Bei Problemen mit dem VPN-Tunnel lohnt sich ein Blick in die Logs der beiden Router. Beim LANCOM hilft der LANmonitor bei der Fehleranalyse.

LCOS blockt per default die privaten IP-Netze aus RFC 1918. Sollten Sie wie in diesem Beispiel private IP-Adressen auf dem WAN-Interface benutzen wollen, löschen Sie diese Regeln aus der Routing-Tabelle.

Häufigste Ursache für Probleme beim Aufbau einer IPSec-Verbindung sind Tippfehler in den IP-Adressen, Netzmasken und Proposals. Viele VPN-Gateways erlauben das Logging auf einen Syslog-Server wie den Kiwi Syslog Server. Auf einem Syslog-Server lassen sich die Meldungen mehrerer Geräte zusammenführen und so leichter auswerten.

Weiterführende Informationen zu VPN

Bei Fragen zu VPN wird Ihnen im Netzwerkforum geholfen.

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 22.03.2012