IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

aqui

back-to-topAllgemeine Einleitung


Dieses Tutorial ist eine kurze Ergänzung zum allgemeinen IPsec Site_to_Site_VPN_Tutorial hier im Forum. Dieses Tutorial schildert VPN Standort Kopplungen mit IKEv1 und IPsec. IKEv1 (Internet Key Exchange Protocol) ist ein langjähriger, standartisierter Protokoll Klassiker und deshalb sehr weit verbreitet. Es ist so gut wie in allen VPN Routern, Firewalls und Betriebssystemen verankert.
Mit IKEv2 steht aber schon seit Längerem ein moderner Nachfolger für VPNs mit IPsec in den Startlöchern, der einige Vorteile gegenüber IKEv1 hat. Das ist im Groben:
  • Weniger Overhead und damit weniger Bandbreiten Verbrauch und schnellerer Tunnelaufbau.
  • EAP Support
  • MOBIKE Support für mobile Endgeräte
  • Integriertes NAT Traversal
  • Besseres Tunnel Keepalive Management
IKEv1 ist nur bedingt kompatibel zu IKEv2. Router oder Firewalls haben oft eine Autodetection an Bord (z.B. pfSense) die erkennen kann, ob ein VPN Connect Request mit IKEv1 oder v2 kommt und passen sich dementsprechend an. Auch supporten viele VPN Endgeräte noch kein IKEv2. Die populäre FritzBox ist so ein Kandidat die derzeit nur IKEv1 spricht. Dies gilt es beim VPN Setup mit IPsec zu beachten.
Viele moderne Betriebssysteme wie z.B. Windows 10, Apple MacOS und auch Linux verwenden in den onboard Clients ebenfalls IKEv2. Bei Windows 10 sogar ausschließlich. Eine IKEv1 Kompatibilität kann dann nur mit zusätzlicher externer Software realisiert werden was das Handling von VPNs nicht unbedingt vereinfacht.
Alles in allem also ein Grund sich etwas näher mit IKEv2 zu beschäftigen.

back-to-topIKEv2 Beispiel Konfiguration


Das Setup ist ähnlich dem oben zitierten IKEv1 Standort VPN Tutorial und selbsterklärend. Alle Router machen NAT am WAN Port mit einer entsprechenden SPI Firewall ins Internet. Cisco Router 2 ist der Responder mit fester, statischer IP. Alle anderen Komponenten nutzen dynamische IPs und zur IPsec Authentisierung Pre Shared Keys mit FQDN Namen (Fully Qualified Domain Names (Hostnamen)), da bei dynamischen IP Adressen eine VPN Tunnel Authenthisierung über die sich ändernde IP fehlschlägt, wenn diese nicht statisch sind.
Eine Sonderstellung nimmt in diesem Design die pfSense Firewall ein die gleichzeitig IKEv2 Responder für den Mikrotik Router ist.
Interessanterweise lässt der Cisco keine IKEv2 SA Assoziierung vom Mikrotik zu. Und das weder mit FQDN Namen noch mit statischer IP Adress Beziehung. Ob das ein Bug auf Cisco oder Mikrotik Seite ist, ist derzeit unklar. Verwendet wurde Cisco IOS 15.6.3(M7) und Router OS Ver. 6.46.3 (Stable Train). (Sollte jemand Infos dazu haben bitte Feedback per PM !)
Der Mikrotik verbindet sich aber fehlerlos per IKEv2 mit der pfSense und dies ist sehr wahrscheinlich wohl auch das häufigere VPN Szenario in Netzwerken kleiner und mittlerer Größe unter Verwendung von Mikrotik und/oder pfSense Hardware.
Es muss nicht extra betont werden das IKEv2 in einer reinen Cisco, pfSense und Mikrotik Umgebung natürlich ebenso fehlerfrei funktioniert.
Das korrespondierende Demo Netzwerk zeigt die folgende Abbildung:

ikev2

Der geplante spätere zweite Teil des Tutorials erweitert die Konfiguration auf dynamische VTI Interfaces mit GRE Tunnel um alle Standorte mit dynamischem Routing zu versorgen und auch Multicast fähig zu machen. Gleichzeitig ermöglichen VTI Interfaces eine einfachere Firewall Konfiguration. Dazu später mehr...

back-to-topIKEv2 Setup Cisco

Der Cisco-2 Router ist hier IPsec Responder mit einer festen statischen IP Adresse am Internet Port. Der Router 3 nutzt eine dynamische WAN IP.

back-to-topSetup Cisco-2 Router (Responder)


Die Access Liste "DynVPN" klassifiziert den Traffic der in den VPN Tunnel geht.
Die Access Liste 101 definiert den NAT Traffic. Der VPN Traffic in den jeweiligen Tunneln zu den Standorten soll natürlich transparent geroutet werden und nicht über das NAT gehen und wird deshalb per deny von der NAT Translation ausgenommen.

back-to-topSetup Cisco-3 Router (Initiator)


Cisco 3 nutzt eine dynamische IP Adresse.
!
crypto ikev2 proposal IKE2PROP
encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
integrity sha256
group 14
!
crypto ikev2 policy IKE2POL
match fvrf any
proposal IKE2PROP
!
crypto ikev2 keyring KR-1
peer Cisco2
address 10.99.1.222 255.255.255.0
pre-shared-key test1234
!
!
crypto ikev2 profile CISCO2
match fvrf any
match identity remote fqdn Cisco2
identity local fqdn Cisco3
authentication local pre-share
authentication remote pre-share
keyring local KR-1
!
!
crypto ipsec transform-set Testset esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto map IKE2VPN 10 ipsec-isakmp
set peer 10.99.1.222
set transform-set Testset
set pfs group14
set ikev2-profile CISCO2
match address Cisco2VPN
!
!
interface Vlan1
description Lokales LAN
ip address 192.168.77.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet 1/0
description Internet
ip address dhcp
ip nat outside
crypto map IKE2VPN
!
ip nat inside source list 101 interface Vlan99 overload
!
ip access-list extended Cisco2VPN
permit ip 192.168.77.0 0.0.0.255 172.16.7.0 0.0.0.255
!
access-list 101 deny ip 192.168.77.0 0.0.0.255 172.16.7.0 0.0.0.255
access-list 101 permit ip 192.168.77.0 0.0.0.255 any
!
end



back-to-topIKEv2 Setup pfSense Firewall:


ike2global

back-to-topPhase-1 (Peer zu Cisco 2)

ike2p1-1
ike2p1-2

back-to-topPhase-2 (Peer zu Cisco 2)

ike2p2-1
ike2p2-2

back-to-topPhase-1 (Peer zu Mikrotik)

ike2p1mt

back-to-topPhase-2 (Peer zu Mikrotik)

ike2p2mt


back-to-topSetup Mikrotik (Initiator)

mtsec

Ein abschließender Wireshark Trace auf der "Internet" WAN Verbindung zeigt dann auch, das die Tunnel Verschlüsselung sicher funktioniert und der Inhalt nicht lesbar ist. Eine sichere VPN Tunnelverbindung wurde somit erfolgreich etabliert !

wdesp


back-to-topSetup Linux Server (StrongSwan)


Das StrongSwan Packet (IPsec Support) installiert man aus der Package Verwaltung (Debian basierte Distros, Ubuntu usw.)) mit dem folgenden Kommando:
sudo apt install strongswan libstrongswan-extra-plugins libcharon-extra-plugins

Wichtig !:
Bevor man mit der Konfiguration fortfährt muss auf dem Linux Rechner das IPv4 Forwarding aktiviert sein, denn der Linux Server routet zw. VPN und lokalem Netzwerk !!
Ohne diese Routing Aktivierung kann der VPN Client kein Tunnelinterface und eine Route dahin anlegen.
Dazu editiert man die Datei /etc/sysctl.conf mit dem onboard nano Editor mit sudo nano /etc/sysctl.conf und sucht dort nach der Zeile #net.ipv4.ip_forward=1 !
Man entfernt dann in dieser Zeile das davorliegende Kommentar "#", speichert die Datei und rebootet den Linux Rechner mit shutdown -r now.

Die zentrale Konfigurations Datei für den StrongSwan IPsec Client findet man unter /etc/ipsec.conf.
Diese Konfig Datei ist eine simple Text Datei und passt man mit dem nano Editor an.
Der folgende Thread beschreibt ein Live Beispiel des Setups:
https://administrator.de/contentid/1205288600#comment-1205532869


back-to-topWeiterführende Links


Grundkonfiguration von Cisco VPN Routern mit ADSL/VDSL:
https://www.administrator.de/contentid/179345

VPN IPsec IKEv1 Standort Kopplung unterschiedlicher Hardware:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...

IPsec Standort Kopplung mit VTI und CiscoRoutern:
https://www.administrator.de/content/detail.php?id=332230&token=14#c ...

IPsec Standort Kopplung mit VTI Cisco und pfSense Firewall:
https://administrator.de/forum/2921-kaskadierung-fritzbox-ipsec-tunnel-6 ...

IPsec Standort Kopplung mit GRE Tunnel und dynamischem RIPv2 Routing auf Mikrotik und Cisco:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=397059&token=888#
https://administrator.de/forum/zwischen-miktrotik-pfsense-gre-tunnel-ips ...

IPv6 über IPv4 GRE Tunnel Interface mit OSPF übertragen (Cisco):
https://administrator.de/content/detail.php?id=630607&token=121#comm ...

VPN IPsec IKEv1 Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. OSPF Routing:
https://administrator.de/content/detail.php?id=396127&token=466#comm ...

Klassische Mikrotik IKEv1 VPN Standort Kopplung mit Preshared Key:
https://administrator.de/content/detail.php?id=564730&token=608#comm ...

Klassische Mikrotik IKEv2 VPN Standort Kopplung mit Preshared Key:
https://administrator.de/contentid/1536809446#comment-1539849447

Klassische Cisco zu pfSense IKEv1 VPN Standort Kopplung:
https://administrator.de/content/detail.php?id=636683&token=689#comm ...

pfSense Firewall für mobile, bordeigene Windows, Linux, Mac OS und Smartphone VPN Clients einrichten:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
L2TP basiertes Client VPN:
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...

L2TP Site to Site (Standort) Anbindung mit Mikrotik:
https://administrator.de/contentid/1721997934#comment-1736463492

pfSense auf VmWare ESXi 6.7:
https://administrator.de/content/detail.php?id=639239&nid=1030243#co ...
https://administrator.de/forum/sophos-software-appliance-utm-vlan-cisco- ...

DS-Lite Anschluss und VPN: Lösung mit Vermittlungsserver und fester IP:
https://administrator.de/forum/zwei-mobilfunkrouter-tp-link-mr200-vpn-ve ...
https://administrator.de/tutorial/feste-ips-zuhause-in-pfsense-via-wireg ...
https://administrator.de/tutorial/feste-ips-zuhause-pfsense-tunnel-56761 ...
Tücken bei remotem Port Forwarding in den VPN Tunnel beachten !!:
https://administrator.de/contentid/1161214871#comment-1280687176

Direkter DS-Lite Anschluss mit pfSense:
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html

Link Aggregation mit pfSense und OPNsense:
https://administrator.de/contentid/1586053518

Content-Key: 544054

Url: https://administrator.de/contentid/544054

Ausgedruckt am: 23.01.2022 um 05:01 Uhr

Mitglied: LuziMarko
LuziMarko 11.02.2020 um 11:48:52 Uhr
Goto Top
Respekt Danke schön
Heiß diskutierte Beiträge
general
Liste von URLs in wininet.dllFennek11Vor 1 TagAllgemeinInternet13 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 1 TagFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

info
SonicWall Bootloop seit letzter NachtSt-AndreasVor 1 TagInformationFirewall2 Kommentare

Sonicwall Gen 7 spielen Bootloop seit letzter Nacht. Hilfe dazu hier ...

question
Verständnisproblem SubnettingKarolaVor 18 StundenFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...