NetModule Router Wiki

User Tools

Site Tools

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
configuration:ipsec-and-l2tp [2020/05/19 11:45] – [IPsec und L2TP] grayconfiguration:ipsec-and-l2tp [2020/06/12 12:51] (current) – [Zusatz für Profis] gray
Line 17: Line 17:
 ===== Ein Konfigurationsbeispiel für L2TP über IPsec ===== ===== Ein Konfigurationsbeispiel für L2TP über IPsec =====
  
-Als erstes konfiguriert man die IPsec Tunnel zwischen den beiden NB1601, wenn diese steht kann man den L2TP Tunnel einrichten.+In dem Beispiel soll zwischen zwei NB1601 ein L2TP Tunnel über ein IPsec aufgebaut werden. Durch diesen Aufbau ist es dann möglich Broadcast oder Multicast Paket über das Netzwerk zu verschicken. Als erstes konfiguriert man die IPsec Tunnel zwischen den beiden NB1601, wenn diese steht kann man den L2TP Tunnel einrichten. Die IP Adressen zwischen NB1601 links zum Internet hat eine Feste IP-Adresse (172.1.1.10) und die IP Adresse zwischen NB1601 rechts zum Mobilprovider ist auch eine statisch IP-Adresse (10.1.1.10). Bei nicht statischen IP-Adressen muss noch ein Dyndns  service auf den Router eingerichtet werden.
  
 ==== Konfigurationsbeispiel für den IPsec Tunnel ==== ==== Konfigurationsbeispiel für den IPsec Tunnel ====
  
-Hierfür habe ich die beiden Konfigurationen NB1601 Linke Seite und NB1601 Rechte Seite  gegenübergestellt, für eine besser Verständnis für den Aufbau. Die beiden IP Adressen bekommt man von seinem Provider. Wenn Sie hier keine Festen IP Adresse habe und sich die IP‘s ändern, müssen Sie ein Dyndns Server zusätzlich verwenden, für den "Remote peer address" Eintrag.+Hierfür habe ich die beiden Konfigurationen NB1601 Linke Seite und NB1601 Rechte Seite  gegenübergestellt, für eine besser Verständnis für den Aufbau. Die beiden IP Adressen bekommt man von seinem Provider. Wenn Sie hier keine Festen IP Adresse habe und sich die IP‘s ändern, müssen Sie ein Dyndns Server zusätzlich verwenden, für den "Remote peer address" Eintrag. Für die IP 10.1.1.10 tragen Sie dann zum Beispiel „router-rechteseite.ddns.net“ ein und für die IP 172.1.1.10 zum Beispiel „router-linkeseite.ddns.net“.  
  
  
Line 36: Line 37:
 {{:configuration:ipsec_ike_proposal.png|}} {{:configuration:ipsec_ike_proposal.png|}}
  
-Unter dem Reiter IKE Proposal müssen folgende Parameter hinterlegt werden. Für die Authentifizierung der Phase 1 muss für den Schlüssel Austausch die Version 1 oder 2 ausgewählt werden (IKEv2). Die Authentifizierung wird hier im Beispiel über ein PSK durchgeführt. Es sind aber auch andere Authentifizierung möglich. Für die Local und Peer ID wurde hier „linkeseite“ und „rechteseite“ verwendet als Beispiel. Wichtig ist hier, dass man dieses wechselseitig auf beiden Seiten einträgt. Was auch Wichtig ist, dass Sie für den „Negotiation mode“ aggressive nutzenIm Mobilnetz müssen Sie über eine NAT grenze hinweg verbindenDieses würde unter main mode nicht gehen. Die weiteren Wert würde ich so belassen hier im Reiter IKE Proposal.+Unter dem Reiter IKE Proposal müssen folgende Parameter hinterlegt werden. Für die Authentifizierung der Phase 1 muss für den Schlüssel Austausch die Version 1 oder 2 ausgewählt werden (IKEv2). Die Authentifizierung wird hier im Beispiel über ein PSK durchgeführt. Es sind aber auch andere Authentifizierung möglich. Für die Local und Peer ID wurde hier „linkeseite“ und „rechteseite“ verwendet als Beispiel. Wichtig ist hier, dass man dieses wechselseitig auf beiden Seiten gleich einträgt. Für die erste Phase des Verbindungsaufbau muss ein Verhandlungsmodus (Negotiation mode) eingestellt werdenAuf der Linken Seite können wir den main mode belassen. Der Router hat eine Direktverbindung(DSL) ins Internet ohne eine NAT GrenzeAuf der Rechten Seite müssen wir aggressive mode verwenden, hier haben wir eine NAT Grenze zwischen dem Internet und dem Router durch die Mobilverbindung(LTE). Die weiteren Wert würde ich so belassen hier im Reiter IKE Proposal. 
  
                       Linke Seite           Rechte Seite                       Linke Seite           Rechte Seite
Line 42: Line 44:
 {{:configuration:ipsec_proposal.png|}} {{:configuration:ipsec_proposal.png|}}
  
-Hier im Beispiel würde ich die Einstellungen im Reiter IPsec Proposal wie sie sind über nehmen für die Phase 2.+Unter dem Reiter IPsec Proposal für die zweite Verbindungsphase vom IPsec, wird nur die Einstellung „Force encapsulation“ aktiviert. Alle weiteren Einstellungen werden übernommen.
  
                      Linke Seite           Rechte Seite                           Linke Seite           Rechte Seite     
Line 48: Line 50:
 {{:configuration:ipsec_networks.png|}} {{:configuration:ipsec_networks.png|}}
  
-Unter dem Reiter Networks werden dann noch die IP netzte hinterlegt die man über das IPsec erreichen möchte. In diesem Beispiel auf der Linken Seite das 192.168.1.0/24  IP Netzwerk und auf der Rechten Seite das 192.168.4.0/24 IP Netzwerk. Diese müssen wieder wechselseitig auf beiden Router Seiten hinterlegt werden.+ 
 +Unter dem Reiter Networks“ werden dann noch die IP Netze hinterlegt die man über das IPsec erreichen möchte. In diesem Beispiel auf der Linken Seite das 192.168.1.0/24  IP Netzwerk und auf der Rechten Seite das 192.168.4.0/24 IP Netzwerk. Diese müssen wieder wechselseitig auf beiden Router Seiten hinterlegt werden. Auf der Rechten Seite wir zusätzlich noch eine NAT Adresse (192.168.4.1) hinterlegt. Der Vorteil der sich jetzt ergibt ist, wenn man eine IP Adresse aus dem Netzwerk 192.168.1.0/24 erreichen möchte, aber aus einem anderen IP Netz kommt. Wird durch das Source NAT die Quellen IP auf die IP 192.168.4.1 umgeschrieben. Dadurch muss man nicht alle IP Netze im IPsec eintragen.
  
 {{:configuration:ipsec_status.png|}} {{:configuration:ipsec_status.png|}}
Line 58: Line 61:
  
  
-Hierfür habe ich auch wieder die Konfigurationen NB1601 Linke Seite und NB1601 Rechte Seite gegenübergestellt, für eine besser Verständnis für den Aufbau.+Hierfür wurde wieder die Konfigurationen NB1601 Linke Seite und NB1601 Rechte Seite gegenübergestellt, für eine besser Verständnis für den Aufbau.
  
  
Line 65: Line 68:
 {{:configuration:l2tp_tunnel.png|}} {{:configuration:l2tp_tunnel.png|}}
  
-Für das Transportnetz wird eine Local und Remote IP benötigt, diese können frei bestimmt werden müssen nicht in Bezug stehen mit dem Netzwerk. Hier im Beispiel habe ich die zwei IP‘s 192.168.168.1 und 192.168.168.2 verwendetDiese werden wieder wechselseitig auf beiden Router Seiten eingetragen. Jetzt wird noch eine Tunnel und Session ID benötigt, diese müssen dann wieder in beiden Router hinterlegt werden. Der MTU Wert ist vorgeben diesen nicht verändert. +Für das Transportnetz wird eine Local und Remote IP benötigt, die Bestandteil es IPsec Netzwerk istAuf der Linken Seite haben wir für das IPsec das Netzwerk 192.168.1.0/24 und für die Rechte Seite Das Netzwerk 192.168.4.0/24 eingerichtet. Diese Zuordnung muss auch für das L2TP verwendet werden. Auf der Linken Seite wird dann für die Local IP 192.168.1.1 eingetragen und Remote IP 192.168.4.1Dieses wird wieder wechselseitig auf beiden Router Seiten eingetragen. Jetzt wird noch eine Tunnel und Session ID benötigt, diese müssen dann wieder in beiden Router hinterlegt werden. Der MTU Wert ist vorgeben diesen nicht verändert. 
-Zur guter Letzt habe ich dann noch den L2TP Tunnel auf die LAN Schnittstelle 2 gebunden. Auf der linken Seite wäre das die IP Adresse 192.168.1.1/24 und auf der rechten Seite die IP Adresse 192.168.4.1/24.+Zur guter Letzt habe ich dann noch den L2TP Tunnel auf die LAN Schnittstelle 2 gebunden. Auf der linken Seite wäre das die IP Adresse 192.168.1.2/24 und auf der rechten Seite die IP Adresse 192.168.4.2/24.
  
-Die beiden Parameter Local und Remote Cookie sind Optional, können aber in der RFC Beschreibung nach gelesen werden. +Die beiden Parameter Local und Remote Cookie sind optional, können aber in der RFC Beschreibung nach gelesen werden. 
  
 link zu Layer Two Tunneling Protocol - Version 3 (L2TPv3) Beschreibung: link zu Layer Two Tunneling Protocol - Version 3 (L2TPv3) Beschreibung:
Line 81: Line 84:
  
 Hierfür wird eine Bridge Schnittstelle (BR2) auf den Router eingerichtete. Wichtig ist hier das die Local IP Adresse vom L2TP Tunnel jeweils hinterlegt wird.  Hierfür wird eine Bridge Schnittstelle (BR2) auf den Router eingerichtete. Wichtig ist hier das die Local IP Adresse vom L2TP Tunnel jeweils hinterlegt wird. 
 +
 +Nach diesen letzten Schritte ist die Konfiguration abgeschlossen und alle WLAN-Client die sich an den WLAN Access Point anmelden bekommen ihre IP Adresse von dem DHCP Server auf dem Linken Router über den L2TP Tunnel vergeben. 
 +
 +===== Zusatz für Profis =====
  
 Jetzt kann man auf beiden Routern, dass vorhanden sein der L2TP Schnittstelle abfragen. Hier wurde als Beispiel am linken Router in der Konsole eine „ifconfig“ abfrage durchgeführt. Hier müsste dann ein Eintrage von der L2TP Schnittstelle vorhanden sein. Jetzt kann man auf beiden Routern, dass vorhanden sein der L2TP Schnittstelle abfragen. Hier wurde als Beispiel am linken Router in der Konsole eine „ifconfig“ abfrage durchgeführt. Hier müsste dann ein Eintrage von der L2TP Schnittstelle vorhanden sein.
Line 96: Line 103:
 {{:configuration:tcpdump.png|}} {{:configuration:tcpdump.png|}}
  
-In der Konsole auf dem linken Router muss man den Befehl „tcpdump -i lan1 -n port 67 and 68“ ausführen. Im ersten Eintrag habe ich über den Port 68 eine Broadcast anfrage nach einer IP Adresse vom DHCP. Diese ist nur möglich wenn das Paket über den L2TP geschickt wird. Ein  Broadcast Paket würde im IPsec nicht weitergeleitet. Im zweiten Eintrag bekommt dann die IP Adresse 192.168.1.133 zugewiesen.  +In der Konsole auf dem linken Router muss man den Befehl „tcpdump -i lan1 -n port 67 and 68“ ausführen. Im ersten Eintrag habe wir über den Port 68 eine Broadcast anfrage nach einer IP Adresse vom DHCP. Diese ist nur möglich wenn das Paket über den L2TP geschickt wird. Ein  Broadcast Paket würde im IPsec nicht weitergeleitet. Im zweiten Eintrag bekommt dann die IP Adresse 192.168.1.133 zugewiesen.  
  
  
  

Page Tools

configuration/ipsec-and-l2tp.1589888733.txt.gz · Last modified: 2020/05/19 11:45 by gray