Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
|
configuration:ipsec-and-l2tp [2020/05/19 11:59] gray [Ein Konfigurationsbeispiel für L2TP über IPsec] |
configuration:ipsec-and-l2tp [2020/05/28 15:32] gray [Konfigurationsbeispiel für den IPsec Tunnel] |
||
|---|---|---|---|
| Line 17: | Line 17: | ||
| ===== Ein Konfigurationsbeispiel für L2TP über IPsec ===== | ===== Ein Konfigurationsbeispiel für L2TP über IPsec ===== | ||
| - | In dem Beispiel soll zwischen zwei NB1601 ein L2TP Tunnel über ein IPsec aufgebaut werden. Durch diesen Aufbau ist es dann möglich Broadcast oder Multicast Paket über das Netzwerk zu verschicken. Als erstes konfiguriert man die IPsec Tunnel zwischen den beiden NB1601, wenn diese steht kann man den L2TP Tunnel einrichten. Die IP Adressen zwischen NB1601 links zum Internet hat eine Feste IP-Adresse (172.1.1.10) und die IP Adresse zwischen NB1601 rechts zum Mobilprovider ist auch eine statisch IP-Adresse(10.1.1.10). Bei nicht statischen IP-Adressen muss noch ein Dyndns service auf den Router eingerichtet werden. | + | In dem Beispiel soll zwischen zwei NB1601 ein L2TP Tunnel über ein IPsec aufgebaut werden. Durch diesen Aufbau ist es dann möglich Broadcast oder Multicast Paket über das Netzwerk zu verschicken. Als erstes konfiguriert man die IPsec Tunnel zwischen den beiden NB1601, wenn diese steht kann man den L2TP Tunnel einrichten. Die IP Adressen zwischen NB1601 links zum Internet hat eine Feste IP-Adresse (172.1.1.10) und die IP Adresse zwischen NB1601 rechts zum Mobilprovider ist auch eine statisch IP-Adresse (10.1.1.10). Bei nicht statischen IP-Adressen muss noch ein Dyndns service auf den Router eingerichtet werden. |
| ==== Konfigurationsbeispiel für den IPsec Tunnel ==== | ==== Konfigurationsbeispiel für den IPsec Tunnel ==== | ||
| - | Hierfür habe ich die beiden Konfigurationen NB1601 Linke Seite und NB1601 Rechte Seite gegenübergestellt, für eine besser Verständnis für den Aufbau. Die beiden IP Adressen bekommt man von seinem Provider. Wenn Sie hier keine Festen IP Adresse habe und sich die IP‘s ändern, müssen Sie ein Dyndns Server zusätzlich verwenden, für den "Remote peer address" Eintrag. | + | Hierfür habe ich die beiden Konfigurationen NB1601 Linke Seite und NB1601 Rechte Seite gegenübergestellt, für eine besser Verständnis für den Aufbau. Die beiden IP Adressen bekommt man von seinem Provider. Wenn Sie hier keine Festen IP Adresse habe und sich die IP‘s ändern, müssen Sie ein Dyndns Server zusätzlich verwenden, für den "Remote peer address" Eintrag. Für die IP 10.1.1.10 tragen Sie dann zum Beispiel „router-rechteseite.ddns.net“ ein und für die IP 172.1.1.10 zum Beispiel „router-linkeseite.ddns.net“. |
| Line 36: | Line 37: | ||
| {{:configuration:ipsec_ike_proposal.png|}} | {{:configuration:ipsec_ike_proposal.png|}} | ||
| - | Unter dem Reiter IKE Proposal müssen folgende Parameter hinterlegt werden. Für die Authentifizierung der Phase 1 muss für den Schlüssel Austausch die Version 1 oder 2 ausgewählt werden (IKEv2). Die Authentifizierung wird hier im Beispiel über ein PSK durchgeführt. Es sind aber auch andere Authentifizierung möglich. Für die Local und Peer ID wurde hier „linkeseite“ und „rechteseite“ verwendet als Beispiel. Wichtig ist hier, dass man dieses wechselseitig auf beiden Seiten einträgt. Was auch Wichtig ist, dass Sie für den „Negotiation mode“ aggressive nutzen. Im Mobilnetz müssen Sie über eine NAT grenze hinweg verbinden. Dieses würde unter main mode nicht gehen. Die weiteren Wert würde ich so belassen hier im Reiter IKE Proposal. | + | Unter dem Reiter IKE Proposal müssen folgende Parameter hinterlegt werden. Für die Authentifizierung der Phase 1 muss für den Schlüssel Austausch die Version 1 oder 2 ausgewählt werden (IKEv2). Die Authentifizierung wird hier im Beispiel über ein PSK durchgeführt. Es sind aber auch andere Authentifizierung möglich. Für die Local und Peer ID wurde hier „linkeseite“ und „rechteseite“ verwendet als Beispiel. Wichtig ist hier, dass man dieses wechselseitig auf beiden Seiten gleich einträgt. Für die erste Phase des Verbindungsaufbau muss ein Verhandlungsmodus (Negotiation mode) eingestellt werden. Auf der Linken Seite können wir den main mode belassen. Der Router hat eine Direktverbindung(DSL) ins Internet ohne eine NAT Grenze. Auf der Rechten Seite müssen wir aggressive mode verwenden, hier haben wir eine NAT Grenze zwischen dem Internet und dem Router durch die Mobilverbindung(LTE).ie weiteren Wert würde ich so belassen hier im Reiter IKE Proposal. |
| Linke Seite Rechte Seite | Linke Seite Rechte Seite | ||