IPCop: IPsec und Netz-zu-Netz-Verbindung
Mit der Linux-basierten Router-Distribution IPCop ist es sehr leicht, zwei Netzwerke mittels IPsec-VPN über das Internet miteinander zu verbinden. Für die Authentifizierung und Verschlüsselung kann sowohl ein pre-shared Key als auch Zertifikate verwendet werden.
Voraussetzungen
Die IP-Bereiche der beiden zu koppelnden Netze dürfen nicht identisch sein oder überlappen. Das bedeutet, die Netze müssen unterschiedlich sein. Beispiel:
Standort A: 192.168.1.0/255.255.255.0 Standort B: 192.168.2.0/255.255.255.0
Bei beiden IPCops muss zuerst der IPsec-Dienst aktiviert werden:
- Am IPCop anmelden.
- „VPNs – IPsec“ anklicken.
- Im Abschnitt „Globale Einstellungen“ „IPsec auf ROT“ aktivieren, den (Dyn-)DNS-Namen oder die statische öffentliche IP-Adresse des jeweiligen Anschlusses eingeben und auf „Speichern“ klicken.
Netz-zu-Netz-IPsec-VPN mit pre-shared Key
- Am IPCop anmelden.
- „VPNs – IPsec“ anklicken.
- Im Abschnitt „Verbindungsstatus und -kontrolle“ auf „Hinzufügen“ klicken.
- „Netz-zu-Netz Virtual Private Network“ auswählen.
- Einen Namen in Kleinbuchstaben und ohne Sonderzeichen eingeben, unter „Remote Host/IP“ den (Dyn-)DNS-Namen oder die satische öffentliche IP-Adresse des entfernten IPCops und unter „Remote Subnetz“ das entfernte IP-Netz eingeben. Im Abschnitt „Authentifizierung“ den pre-shared Key auswählen und eingeben.
Auf dem entfernten IPCop sind die gleiche Einstellungen vorzunehmen, nur das dort die Angaben für lokales und remote Subnetz getauscht sind. Der pre-shared Key muss auf beiden IPCops identisch sein. Sobald die Konfiguration abgeschlossen ist, wird die VPN-Verbindung aufgebaut.
Netz-zu-Netz-IPsec-VPN mit Zertifikaten
Zuerst muss auf beiden IPCops eine CA (Certificate Authority) eingerichtet werden.
- Am IPCop anmelden.
- „VPNs – CA“ anklicken.
- „Erzeuge Root- und Host-Zertifikate“ anklicken.
- Mindestens einen Namen eingeben und auf „Erzeuge Root- und Host-Zertifikate“ klicken. Dieser Vorgang kann je nach Hardware einen Moment dauern.
- Sobald die Zertifikate erzeugt wurden, das Host-Zertifikat mit einem Klick auf das Disketten-Symbol exportieren bzw. abspeichern.
- Nun auf sicherem Wege die Host-Zertifikate der IPCops austauschen. D.h. das Host-Zertifikat von Standort A zu Standort B kopieren und umgekehrt der gleiche Vorgang.
- Nun auf „VPNs – IPsec“ klicken.
- Im Abschnitt „Verbindungsstatus und -kontrolle“ auf „Hinzufügen“ klicken.
- „Netz-zu-Netz Virtual Private Network“ auswählen.
- Einen Namen in Kleinbuchstaben und ohne Sonderzeichen eingeben, unter „Remote Host/IP“ den (Dyn-)DNS-Namen oder die statische öffentliche IP-Adresse des entfernten Routers und unter „Remote Subnetz“ das entfernte IP-Netz eingeben. Im Abschnitt „Authentifizierung“ „Ein Zertifikat hochladen“ auswählen und die Host-Zertifikat-Datei des entfernten IPCops hochladen.
Sobald die Konfiguration abgeschlossen ist, wird die VPN-Verbindung aufgebaut.
In der Regel bzw. in der Praxis wird meist zuerst mittels pre-shared Key die grundsätzliche Verbindung getestet, bevor man die Zertifikate ausstellt und verteilt.
Schon immer Technik-Enthusiast, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen. Die Schwerpunkte liegen auf der Netzwerkinfrastruktur, den Betrieb von Servern und Diensten.
Pingback: m0n0wall: IPsec und Netz-zu-Netz-Verbindung | Andy's Blog – Linux, Mac, Windows