This is an old revision of the document!


Telekom HOTSPOT über IPsec

Übersichtsnetzwerkplan

Ein Beispiel für ein Telekom WLAN HOTSPOT

In dieser Beispiel Konfiguration soll gezeigt werden, wie man mit eine NETMODULE Router ein WLAN Hotspot zur Telekom Hotspot Plattform aufbaut. Wichtig für den Zugriff auf die Plattform der Telekom wird ein Account von der Telekom benötigt.

Konfiguration des WLAN Access Points und des DHCP Relay

Für den Access Points wird das 2.4 GHz und der Kanal 11 verwendet in diesem Beispiel. Die Bandbreite wurde auf 20 MHz gesetzt, wenn sich wenige Person mit dem WLAN AP verbinden kann man auch die Bandbreite 40 MHz nutzen und so den Durchsatz vergrößern. Hier im Beispiel wurde die Funktion „disable low data rates“ aktiviert. Das heißt wenn sich WLAN Clients sehr weit von dem WLAN AP entfernen und dadurch nur Datenraten von 1 bis 2 Mbits bekommen. Werden diese Client aus dem WLAN Access Points entfernt, dadurch steigt der Datendurchsatz für alle andern an.

Der SSID Name vom WLAN Access Point kann hier frei gewählt werden. Weil der WLAN AP ja ein offenes WLAN-Netz werden soll, wird der Securty mode ausgeschaltet. Was man aber hier aktivieren sollte ist die „isolate clients“ Funktion. Hiermit wird bewirkt das die Clients sich nur selber sehen und den lokalen Zugangspunkt im Netzwerk.

Das IP Netz das man hier einträgt bekommt man mit den Account Daten von der Telekom. Es ist ein /27 IP-Netz mit 32 IP-Adressen.

Wichtig für die IP-Adressen Vergabe für die WLAN-Clients, ist das hier ein DHCP relay eingerichtet wird. Die Broadcast anfragen nach einer IP-Adresse werden nicht über den IPsec weitergeben zum DHCP Server der Telekom. Hierfür wird ein Zwischenhändler benötigt, der die anfragen weiter gibt.

Konfiguration des IPsec

Die Einstellungen die vorgeben werden hier, werden übernommen. Der Router verbindet sich über Mobilfunk mit dem Internet. Hier ist die Funktion Propose NAT traverdal wichtig. Aber auch das der IPsec neu aufgebaut wird wenn sich die Standard Router wechselt.

Unter dem Reiter General trägt man die Remote peer Adresse(62.157.153.111) des IPsec Telekom Server ein. Alle anderen Einstellungen kann man so belassen.

Für die Phase 1 wird IKEv2 benutzt von der Telekom. Das Passwort für den pre-shared-key und den username der in Local ID hinterlegt wird, kommen Sie mit den Account Daten von der Telekom zugeschickt. Der Netmodule Router verbindet sich über das Mobilnetz mit dem Internet, dadurch muss für den Verhandlungsmodus der aggressive mode verwendet werden. Für die Verschlüsselung wird aes256 verwendet. Für die Echtheitsprüfung kann man sha384 oder sha512 nutzen. Für die Aushandlung können die Diffie-Hellmann Gruppen 19, 14, 21 oder 5 genutzt werden. Für random Funktion kann man sha384 oder sha512 nutzen.

Für die zweite Phase wird für die Verschlüsselung aes128 genutzt. Für die Echtheitsprüfung sha1 und die SA Lebensdauer ist auf 3600 Sekunden gesetzt.

Das Local Netzwerk das man hier eintragen muss bekommt von wieder mit den Account Daten der Telekom. Es wird aber auch ein /27 IP-Netzwerk sein. Wichtig ist der Peer Netzwerk Eintrag hier wird der IP-Netz 0.0.0.0/0 verwendet. Dadurch wird gesamte Netzwerkverkehr durch den IPsec Tunnel geleitet. Die NAT IP Adresse ist die gleich die man als IP Adresse im WLAN eingetragen hat.

Konfiguration Testen