Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
configuration:telekom-hotspot-over-ipsec [2020/06/26 10:44] gray [Konfiguration des IPsec] |
configuration:telekom-hotspot-over-ipsec [2024/01/09 13:42] (current) gray [2.2 Router mit dem Internet verbinden] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ====== Telekom HOTSPOT über IPsec ====== | + | ~~NOTOC~~ |
| + | ====== Telekom HOTSPOT Konfiguration ====== | ||
| - | ===== Übersichtsnetzwerkplan ===== | + | **Konfigurationsanleitung für einen NetModule Router mit Telekom SIM Karte, so dass er als WLAN Hotspot der Telekom Hotspot Plattform funktioniert.** |
| - | {{:configuration:telekom_hotspot.png|}} | + | Für die Konfiguration wird die Seriennummer des Gerätes mit SIM Karte inklusive PIN und die Zugangsdaten für die Telekom Hotspot Platform benötigt ({{ :configuration:telekomhotspot.xlsx |Excel Vorlage}}): |
| + | {{ :configuration:telekomminimal.png|}} | ||
| + | ---- | ||
| + | ===== - Vorbereitung ===== | ||
| + | Von der Telekom erhält man alle notwendigen Konfigurationsinformaitonen per Excel-Datei. Diese Spalten sind relevant: | ||
| + | * ''<username>'' z.B. 003300000023@phsp.net | ||
| + | * ''<password>'' z.B. 9c4b89ff | ||
| + | * ''<client_netbase>'' z.B. 10.134.84.96 | ||
| + | * ''<client_netmask>'' z.B. 255.255.255.224 | ||
| + | * ''<client_gw>'' z.B. 10.134.84.126 | ||
| + | diese Werte sind immer gleich: | ||
| + | * DHCP relay: primary ''172.16.163.235'' und secondary ''172.16.163.236'' | ||
| + | * Adresse des IPsec Telekom Servers: ''62.157.153.111'' | ||
| + | weiter wird benötigt: | ||
| + | * ''<SSID>'': frei wählbarer Name des WLANs z.b. "Mein-WLAN" | ||
| + | * ''<Seriennummer>'' des Routers, mit ''<PIN>'' der eingelegten SIM-Karte | ||
| + | * ''<APN_Telekom>'' internet.m2mportal.de | ||
| + | ===== - Konfiguration ===== | ||
| + | ==== - Überprüfung der Seriennummer des Routers ==== | ||
| + | //WEB-GUI: » HOME→Status→System// | ||
| + | {{ :configuration:telekom0.png|}} | ||
| + | ---- | ||
| + | ==== - Router mit dem Internet verbinden ==== | ||
| + | === - Modem aktivieren ==== | ||
| + | {{ :configuration:telekom1.png|}} | ||
| + | {{ :configuration:telekom2.png|}} | ||
| + | ---- | ||
| + | === - SIM-Karten PIN eingeben === | ||
| + | <PIN> der im Router eingelegten SIM-Karte | ||
| + | {{ :configuration:telekom3.png|}} | ||
| + | {{ :configuration:telekom4.png|}} | ||
| + | ---- | ||
| + | === - APN auswählen === | ||
| + | Automatische Wahl des APNs. | ||
| + | {{ :configuration:telekom5.png|}} | ||
| - | ===== Ein Beispiel für ein Telekom WLAN HOTSPOT ===== | + | {{ :configuration:telekom6.png|}} |
| - | In dieser Beispiel Konfiguration soll gezeigt werden, wie man mit eine NETMODULE Router ein WLAN Hotspot zur Telekom Hotspot Plattform aufbaut. Wichtig für den Zugriff auf die Plattform der Telekom wird ein Account von der Telekom benötigt. | + | ---- |
| - | ==== Konfiguration des WLAN Access Points und des DHCP Relay ==== | + | Sie können aber auch den APN selber hinterlegen im Router. Hierfür nutzen Sie die Option '' <load from database>'' und wählen hier das Land aus, wo die SIM Karte her bezogen wurde. Im Fall Telekom '' <Germany>''. Den APN den Sie in der Liste dann auswählen müssen ist '' <internet.telekom>''. Nach der Bestätigung des ''<Apply>'' Knopf wird der APN hinterlegt. ''WICHTIG!'' Für den Telekom HOTSPOT Dienst wurde der APN geändert. Bitte tragen Sie als APN ''<internet.m2mportal.de>'' ein. Der APN kann unter dem Punkt ''specify'' hinterlegt werden. Es wird kein Passwort hier benötigt. Kann auf ''None'' stehen bleiben. |
| + | {{ :configuration:telekom20.png|}} | ||
| - | {{:configuration:wlan_admin.png|}} | + | ---- |
| + | Wenn Sie eine WAN Schnittstelle auf dem Router einrichten, werden Sie gefragt ob Sie die Firewall aktivieren wollen und ob Zugriffe vom Internet auf den Router nicht erlaubt sind. Bitte wählen Sie hier ''<Yes>'' und aktivieren Sie die Firewall. Sie können später weitere Regel hinzufügen wenn Sie hier zusätzliche Zugriffe benötigen. | ||
| + | {{ :configuration:telekom19.png|}} | ||
| - | Für den Access Points wird das 2.4 GHz und der Kanal 11 verwendet in diesem Beispiel. Die Bandbreite wurde auf 20 MHz gesetzt, wenn sich wenige Person mit dem WLAN AP verbinden kann man auch die Bandbreite 40 MHz nutzen und so den Durchsatz vergrößern. Hier im Beispiel wurde die Funktion „disable low data rates“ aktiviert. Das heißt wenn sich WLAN Clients sehr weit von dem WLAN AP entfernen und dadurch nur Datenraten von 1 bis 2 Mbits bekommen. Werden diese Client aus dem WLAN Access Points entfernt, dadurch steigt der Datendurchsatz für alle andern an. | + | ---- |
| + | === - Internetverbindnug überprüfen === | ||
| + | {{ :configuration:telekom7.png|}} | ||
| + | ---- | ||
| - | {{:configuration:wlan_config.png|}} | + | ==== - Konfiguration WLAN Access Point und DHCP Relay ==== |
| + | === - WLAN aktivieren === | ||
| + | //>> INTERFACES->WLAN->Administration// | ||
| + | {{ :configuration:telekom8.png|}} | ||
| + | ---- | ||
| - | Der SSID Name vom WLAN Access Point kann hier frei gewählt werden. Weil der WLAN AP ja ein offenes WLAN-Netz werden soll, wird der Securty mode ausgeschaltet. Was man aber hier aktivieren sollte ist die „isolate clients“ Funktion. Hiermit wird bewirkt das die Clients sich nur selber sehen und den lokalen Zugangspunkt im Netzwerk. | + | === - SSID festlegen === |
| + | //>> INTERFACES->WLAN->Configuration// | ||
| - | {{:configuration:wlan_ip.png|}} | + | Der ''<SSID>'' Name vom WLAN Access Point kann hier frei gewählt werden (z.B: "''Telekom-Hotspot''" oder "Mein-Hotspot"). Weil der WLAN AP ein offenes WLAN-Netz werden soll, wird der Securty mode ausgeschaltet. Es sollte die „isolate clients“ Funktion aktiviert werden. Damit wird verhindert, dass die Benuzert auf die Geräte der anderen Benutzer direkt zugreifen können. |
| + | {{ :configuration:telekom9.png|}} | ||
| + | {{ :configuration:telekom10.png|}} | ||
| + | ---- | ||
| + | === - IP Adressbereich festlegen === | ||
| + | //>> INTERFACES->WLAN->IP Settings// | ||
| - | + | Das IP Netz (Telekom: ''<client_gw>'') und die Netmask (Telekom: ''<client_netmask>'') bekommt von der Telekom. | |
| - | Das IP Netz das man hier einträgt bekommt man mit den Account Daten von der Telekom. Es ist ein /27 IP-Netz mit 32 IP-Adressen. | + | {{ :configuration:telekom11.png|}} |
| + | ---- | ||
| + | === - DHCP Server einrichten === | ||
| + | //>> SERVICES->DHCP Server->Network Interface WLAN// | ||
| - | {{:configuration:wlan_dhcp.png|}} | + | Für die IP-Adressen Vergabe an die WLAN-Clients, werden hier die richtigen DHCP relay server (Telekom: primary ''172.16.163.235'' secondary ''172.16.163.236'') eingetragen. |
| + | {{ :configuration:telekom11b.png|}} | ||
| + | ---- | ||
| - | Wichtig für die IP-Adressen Vergabe für die WLAN-Clients, ist das hier ein DHCP relay eingerichtet wird. Die Broadcast anfragen nach einer IP-Adresse werden nicht über den IPsec weitergeben zum DHCP Server der Telekom. Hierfür wird ein Zwischenhändler benötigt, der die anfragen weiter gibt. | + | ==== - Konfiguration des IPsec ==== |
| + | === - IPsec aktivieren === | ||
| - | ==== Konfiguration des IPsec ==== | + | //>> VPN->IPsec->Administration// |
| - | {{:configuration:ipsec_admin.png|}} | + | Die Einstellungen die vorgeben werden hier, werden übernommen. Der Router verbindet sich über Mobilfunk mit dem Internet. "Propose NAT traversal" und "Restart on link change" müssen aktiviert sein. |
| + | {{ :configuration:telekom12.png|}} | ||
| + | ---- | ||
| - | Die Einstellungen die vorgeben werden hier, werden übernommen. Der Router verbindet sich über Mobilfunk mit dem Internet. Hier ist die Funktion Propose NAT traverdal wichtig. Aber auch das der IPsec neu aufgebaut wird wenn sich die Standard Router wechselt. | + | === - IPsec Tunnel erstellen === |
| - | {{:configuration:ipsec_telekom_general.png|}} | + | //>> VPN->IPsec->Tunnel Configuration// |
| - | Unter dem Reiter General trägt man die Remote peer Adresse(62.157.153.111) des IPsec Telekom Server ein. Alle anderen Einstellungen kann man so belassen. | + | {{ :configuration:telekom13.png|}} |
| + | ---- | ||
| + | === - Telekom Gegenstelle eintragen === | ||
| - | {{:configuration:ipsec_telekom_ike_proposal.png|}} | + | //>> VPN->IPsec->Tunnel Configuration->IPsec Tunnel1 Configuration->General// |
| + | Hier trägt man die Remote peer Adresse (Telekom: ''62.157.153.111'') des IPsec Telekom Server ein. | ||
| + | {{ :configuration:telekom14.png|}} | ||
| + | ---- | ||
| - | Für die Phase 1 wird IKEv2 benutzt von der Telekom. Das Passwort für den pre-shared-key und den username der in Local ID hinterlegt wird, kommen Sie mit den Account Daten von der Telekom zugeschickt. Der Netmodule Router verbindet sich über das Mobilnetz mit dem Internet, dadurch muss für den Verhandlungsmodus der aggressive mode verwendet werden. Für die Verschlüsselung wird aes256 verwendet. Für die Echtheitsprüfung kann man sha384 oder sha512 nutzen. Für die Aushandlung können die Diffie-Hellmann Gruppen 19, 14, 21 oder 5 genutzt werden. Für random Funktion kann man sha384 oder sha512 nutzen. | + | === - Zugangsdaten eingeben === |
| + | //>> VPN->IPsec->Tunnel Configuration->IPsec Tunnel1 Configuration->IKE Proposal// | ||
| - | {{:configuration:ipsec_telekom_proposal.png|}} | + | Das Passwort für den pre-shared-key (Telekom: ''<password>'') und den username (Telekom: ''<username>'') |
| + | der in Local ID hinterlegt wird, kommen Sie mit den Account Daten von der Telekom zugeschickt. Für die Peer ID wird ''ESA-VPN.esa.han.red'' verwendet. | ||
| + | {{ :configuration:telekom15.png|}} | ||
| + | ---- | ||
| - | Für die zweite Phase wird für die Verschlüsselung aes128 genutzt. Für die Echtheitsprüfung sha1 und die SA Lebensdauer ist auf 3600 Sekunden gesetzt. | + | === - Tunnel konfigurieren === |
| + | //>> VPN->IPsec->Tunnel Configuration->IPsec Tunnel1 Configuration->IPsec Proposal// | ||
| + | {{ :configuration:telekom16.png|}} | ||
| + | ---- | ||
| - | {{:configuration:ipsec_telekom_networks.png|}} | + | === - Netzwerk eintragen === |
| + | //>> VPN->IPsec->Tunnel Configuration->IPsec Tunnel1 Configuration->Networks// | ||
| - | Das Local Netzwerk das man hier eintragen muss, bekommt man wieder mit den Account Daten der Telekom. Es wird aber auch ein /27 IP-Netzwerk sein. Wichtig ist der Peer Netzwerk Eintrag. Hier wird das IP-Netzwerk 0.0.0.0/0 verwendet. Dadurch wird gesamte Netzwerkverkehr durch den IPsec Tunnel geleitet. Die NAT IP Adresse ist die gleich die man als IP Adresse im WLAN eingetragen hat. | + | Das Local Netzwerk (Telekom: ''<client_netbase>'') und die Local Netmask (Telekom: ''<client_netmask>'') muss hier eingetragen werden, sowie Peer network ''0.0.0.0'' und Peer netmask ''0.0.0.0''. Dadurch wird gesamte Netzwerkverkehr des WLANs durch den IPsec Tunnel geleitet. |
| - | + | {{ :configuration:telekom17.png|}} | |
| - | + | {{ :configuration:telekom18.png|}} | |
| - | ==== Konfiguration Testen ==== | + | ---- |
| + | ==== - Konfiguration Testen ==== | ||
| + | Wenn alle Einstellungen richtig eingetragen wurden verbindet sich der Router mit dem Internet (WWAN1 up), der WLAN Access Point ist aktiv (WLAN1 up) und es baut sich der IPsec Tunnel zwischen dem Netmodule Router und der Telekom auf (IPsec1 up): | ||
| {{:configuration:home_telekom_summary.png|}} | {{:configuration:home_telekom_summary.png|}} | ||
| - | Wenn alle Einstellungen richtig eingetragen wurden baut sich der IPsec Tunnel zwischen dem Netmodule Router und der Telekom auf. | + | Wenn man sich mit einem Mobilgerät an dem Hotspot Anmeldet wird man auf eine Anmeldeseite der Telekom umgeleitet. Nach erfolgter Bestätigung beteht Internetzugriff: |
| + | {{:configuration:anmeldeseite_telekom.png|}} | ||
| - | {{:configuration:anmeldeseite_telekom.png|}} | ||
| - | |||
| - | Wenn man sich mit einem Mobilgerät an dem Hotspot Anmeldet wird man auf eine Anmeldeseite der Telekom umgeleitet. Nach der Anmeldung kommt man dann ins Internet. | ||