IPSec: Hinweise zur Konfiguration eines IKEv1-IPSec-Peers für “Mehrere Benutzer” (Multipeer)

1347Aufrufe 6. Juni 2019 7. November 2019 5

IPSec: Hinweise zur Konfiguration eines IKEv1-IPSec-Peers für “Mehrere Benutzer” (Multipeer)

Vorbemerkungen

  • Mittels eines einzigen IKEv1-IPSec-Peers für “Mehrere Benutzer” sollen sich mehrere IKEv1-IPSec-Clients gleichzeitig in den Router einwählen können.
  • Im Beispiel wird ein bintec RS353jw mit Software-Version 10.2.6 Patch 1 verwendet, die Konfiguration erfolgt mittels GUI.
  • Andere Geräte der bintec Router-Serien und der be.IP-Serie mit vergleichbaren Software-Versionen sind teilweise identisch bzw. analog zu konfigurieren.
  • Im Zuge der technischen Weiterentwicklung der Systemsoftware können sich Änderungen ergeben.
  • Die Konfiguration erfolgt im GUI Menü “VPN” unter “IPSec” in der Menükarte “IPSec-Peers”.
  • Die individuellen Einstellparameterbeschreibungen sind im Kontext-Menü der Online-Hilfe und im Manual zu finden.
  • Exportieren Sie Ihre aktive Konfiguration in eine externe Datei, bevor Sie mit Änderungen an der Konfiguration beginnen.

Hinweise zur Konfiguration eines IKEv1-IPSec-Multipeers

Ein Vorteil eines IKEv1-IPSec-Multipeers liegt im relativ geringen Konfigurationsaufwand:
In den einwählenden IPSec-Clients sind alle IPSec-Einstellungen gleich – bis auf eine einzige notwendige Ausnahme (die eigene ID, s.u.). Im Router ermöglicht ein einziger IKEv1-IPSec-Multipeer die gleichzeitige Einwahl vieler IPSec-Clients. Die Gesamtzahl der gleichzeitig möglichen aktiven IPsec-Verbindungen ist nur durch die im Router vorhandene IPSec-Lizenz limitiert.

Ein gewisser Nachteil liegt in einem sicherheitsrelevanten Aspekt:
Alle einbezogenen IPSec-Clients haben zwangsläufig den gleichen Preshared Key (PSK) und verwenden sowohl gleiche (IKEv1-)Phase-1-Profile als auch gleiche (IPSec-)Phase-2-Profile. Wenn also nur ein einziger dieser IPSec-Clients kompromittiert würde, müssten neben dem IKEv1-IPSec-Multipeer im Router auch alle einbezogenen IPSec-Clients umkonfiguriert werden.

Bei den einbezogenen IPSec-Clients ist Folgendes zu beachten:
– Die IPSec-Clients verwenden gleiche Preshared Keys (PSKs), gleiche (IKEv1-)Phase-1-Profile und gleiche (IPSec-)Phase-2-Profile.
– Die IPSec-Clients müssen mit unterschiedlichen, zwingend einzigartigen (unique) eigenen IDs ausgestattet sein (Client-IDs).
– Der Typ dieser eigenen ID muß bei allen einbezogenen IPSec-Clients gleich sein.

Im bintec Router ist zum ordnungsgemäßen Betrieb eines IKEv1-IPSec-Multipeere Folgendes zu beachten:
– Es kann nur IKEv1 verwendet werden. Für IKEv2 gibt es keinen solchen IPSec-Multipeer.
– Es kann und darf nur einen einzigen solchen IKEv1-IPSec-Multipeer geben.
– Der IKEv1-IPSec-Multipeer muß zwingend an letzter Position der IPSec-Peer-Liste für IKEv1 plaziert sein.
– Die “Peer-Adresse” des IKEv1-IPSec-Multipeers muß leer sein, um die Einwahl von Gegenstellen mit unterschiedlichen IP-Adressen akzeptieren zu können.
– Die “Peer-ID” muß leer sein, um die Einwahl von Gegenstellen mit unterschiedlichen (zwingend einzigartigen) Client-IDs akzeptieren zu können.
– Der Typ der Peer-ID sollte sich nach den einbezogenen IPSec-Clients richten, im Zweifel ist “Fully Qualified Domain Name (FQDN)” einzustellen und zu verwenden.
– Bei “Anzahl erlaubter Verbindungen” ist die Einstellung “Mehrere Benutzer” auszuwählen.
– Beim “Startmodus” ist die Einstellung “Auf Anforderung” auszuwählen.
– Die IPv4-Adressvergabe an die IPSec-Clients erfolgt dynamisch durch Einstellung der “IPv4-Adressvergabe” auf “Server im IKE-Konfigurationsmodus”.
– Der zuzuordnende IPv4-Adress-Pool muß eine ausreichende Anzahl von IPv4-Adressen enthalten.
– Wenn die IPv4-Pool-Adressen nicht im eigenen LAN-IP-Subnetz-Bereich liegen, so ist “IPv4 Proxy ARP” auf “Inaktiv” zu setzen. Liegen die IPv4-Pool-Adressen im eigenen LAN-IP-Subnetz-Bereich, so ist bei “IPv4 Proxy ARP” die Einstellung “Nur aktiv” auszuwählen. In letzterem Fall muß auch am entsprechenden LAN-Interface das “Proxy ARP” aktiviert werden.

Beispiel für das GUI-Menü eines IKEv1-IPSec-Multipeers:

Bild 1: GUI-Menü eines beispielhaften IKEv1-IPSec-Multipeers

Erweiterte Einstellungen zu obigem IKEv1-IPSec-Multipeer:

Bild 2: Erweiterte Einstellungen zu obigem IKEv1-IPSec-Multipeer

Abschlußbemerkung

Vergessen Sie nicht Ihre gewünschte Einstellung bootfest zu speichern und Ihre aktiven Konfigurationen regelmäßig in externe Dateien zu exportieren.

Basis

Erstellt: 4.6.2019
Stand: 12.7.2019
Produkt: bintec Router-Serien und be.IP-Serie
Release: 10.2.6 patch 1
kst19/2019