Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

08.02.2020, aktualisiert 14.04.2020, 3261 Aufrufe, 1 Kommentar, 9 Danke


1.) Allgemeine Einleitung:

Dieses Tutorial ist eine kurze Ergänzung zum allgemeinen IPsec Site_to_Site_VPN_Tutorial hier im Forum. Dieses Tutorial schildert VPN Standort Kopplungen mit IKEv1 und IPsec. IKEv1 (Internet Key Exchange Protocol) ist ein langjähriger, standartisierter Protokoll Klassiker und deshalb sehr weit verbreitet. Es ist so gut wie in allen VPN Routern, Firewalls und Betriebssystemen verankert.
Mit IKEv2 steht aber schon seit Längerem ein moderner Nachfolger für VPNs mit IPsec in den Startlöchern, der einige Vorteile gegenüber IKEv1 hat. Das ist im Groben:
  • Weniger Overhead und damit weniger Bandbreiten Verbrauch und schnellerer Tunnelaufbau.
  • EAP Support
  • MOBIKE Support für mobile Endgeräte
  • Integriertes NAT Traversal
  • Besseres Tunnel Keepalive Management
IKEv1 ist nur bedingt kompatibel zu IKEv2. Router oder Firewalls haben oft eine Autodetection an Bord (z.B. pfSense) die erkennen kann, ob ein VPN Connect Request mit IKEv1 oder v2 kommt und passen sich dementsprechend an. Auch supporten viele VPN Endgeräte noch kein IKEv2. Die populäre FritzBox ist so ein Kandidat die derzeit nur IKEv1 spricht. Dies gilt es beim VPN Setup mit IPsec zu beachten.
Viele moderne Betriebssysteme wie z.B. Windows 10, Apple MacOS und auch Linux verwenden in den onboard Clients ebenfalls IKEv2. Bei Windows 10 sogar ausschließlich. Eine IKEv1 Kompatibilität kann dann nur mit zusätzlicher externer Software realisiert werden was das Handling von VPNs nicht unbedingt vereinfacht.
Alles in allem also ein Grund sich etwas näher mit IKEv2 zu beschäftigen.

2.) IKEv2 Demo Konfiguration:

Das Setup ist ähnlich dem oben zitierten IKEv1 Standort VPN Tutorial und selbsterklärend. Alle Router machen NAT am WAN Port mit einer entsprechenden SPI Firewall ins Internet. Cisco Router 2 ist der Responder mit fester, statischer IP. Alle anderen Komponenten nutzen dynamische IPs und zur IPsec Authentisierung Pre Shared Keys mit FQDN Namen (Fully Qualified Domain Names (Hostnamen)), da bei dynamischen IP Adressen eine VPN Tunnel Authenthisierung über die sich ändernde IP fehlschlägt, wenn diese nicht statisch sind.
Eine Sonderstellung nimmt in diesem Design die pfSense Firewall ein die gleichzeitig IKEv2 Responder für den Mikrotik Router ist.
Interessanterweise lässt der Cisco keine IKEv2 SA Assoziierung vom Mikrotik zu. Und das weder mit FQDN Namen noch mit statischer IP Adress Beziehung. Ob das ein Bug auf Cisco oder Mikrotik Seite ist, ist derzeit unklar. Verwendet wurde Cisco IOS 15.6.3(M7) und Router OS Ver. 6.46.3 (Stable Train). (Sollte jemand Infos dazu haben bitte Feedback per PM !)
Der Mikrotik verbindet sich aber fehlerlos per IKEv2 mit der pfSense und dies ist sehr wahrscheinlich wohl auch das häufigere VPN Szenario in Netzwerken kleiner und mittlerer Größe unter Verwendung von Mikrotik und/oder pfSense Hardware.
Es muss nicht extra betont werden das IKEv2 in einer reinen Cisco, pfSense und Mikrotik Umgebung natürlich ebenso fehlerfrei funktioniert.
Das korrespondierende Demo Netzwerk zeigt die folgende Abbildung:

ikev2 - Klicke auf das Bild, um es zu vergrößern

Der geplante spätere zweite Teil des Tutorials erweitert die Konfiguration auf dynamische VTI Interfaces mit GRE Tunnel um alle Standorte mit dynamischem Routing zu versorgen und auch Multicast fähig zu machen. Gleichzeitig ermöglichen VTI Interfaces eine einfachere Firewall Konfiguration. Dazu später mehr...

3.) IKEv2 Setup Cisco:

Der Cisco-2 Router ist hier IPsec Responder mit einer festen statischen IP Adresse am Internet Port. Der Router 3 nutzt eine dynamische WAN IP.

3.1 Setup Cisco-2 Router (Responder):

Die Access Liste "DynVPN" klassifiziert den Traffic der in den VPN Tunnel geht.
Die Access Liste 101 definiert den NAT Traffic. Der VPN Traffic in den jeweiligen Tunneln zu den Standorten soll natürlich transparent geroutet werden und nicht über das NAT gehen und wird deshalb per deny von der NAT Translation ausgenommen.

3.2 Setup Cisco-3 Router (Initiator):

Cisco 3 nutzt eine dynamische IP Adresse.
!
crypto ikev2 proposal IKE2PROP
encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
integrity sha256
group 14
!
crypto ikev2 policy IKE2POL
match fvrf any
proposal IKE2PROP
!
crypto ikev2 keyring KR-1
peer Cisco2
address 10.99.1.222 255.255.255.0
pre-shared-key test1234
!
!
crypto ikev2 profile CISCO2
match fvrf any
match identity remote fqdn Cisco2
identity local fqdn Cisco3
authentication local pre-share
authentication remote pre-share
keyring local KR-1
!
!
crypto ipsec transform-set Testset esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto map IKE2VPN 10 ipsec-isakmp
set peer 10.99.1.222
set transform-set Testset
set pfs group14
set ikev2-profile CISCO2
match address Cisco2VPN
!
!
interface Vlan1
description Lokales LAN
ip address 192.168.77.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet 1/0
description Internet
ip address dhcp
ip nat outside
crypto map IKE2VPN
!
ip nat inside source list 101 interface Vlan99 overload
!
ip access-list extended Cisco2VPN
permit ip 192.168.77.0 0.0.0.255 172.16.7.0 0.0.0.255
!
access-list 101 deny ip 192.168.77.0 0.0.0.255 172.16.7.0 0.0.0.255
access-list 101 permit ip 192.168.77.0 0.0.0.255 any
!
end



4.) IKEv2 Setup pfSense Firewall:

ike2global - Klicke auf das Bild, um es zu vergrößern

4.1 Phase-1 (Peer zu Cisco 2):

ike2p1-1 - Klicke auf das Bild, um es zu vergrößern
ike2p1-2 - Klicke auf das Bild, um es zu vergrößern

4.2 Phase-2 (Peer zu Cisco 2):

ike2p2-1 - Klicke auf das Bild, um es zu vergrößern
ike2p2-2 - Klicke auf das Bild, um es zu vergrößern

4.3 Phase-1 (Peer zu Mikrotik):

ike2p1mt - Klicke auf das Bild, um es zu vergrößern

4.4 Phase-2 (Peer zu Mikrotik):

ike2p2mt - Klicke auf das Bild, um es zu vergrößern


5.) Setup Mikrotik (Initiator):

mtsec - Klicke auf das Bild, um es zu vergrößern

Wichtig: Beim Mikrotik, wie immer bei VPN Designs, in der Firewall das NAT für den VPN Tunnel deaktivieren !
mtnonatpf - Klicke auf das Bild, um es zu vergrößern

Ein abschließender Wireshark Trace auf der "Internet" WAN Verbindung zeigt dann auch, das die Tunnel Verschlüsselung sicher funktioniert und der Inhalt nicht lesbar ist. Eine sichere VPN Tunnelverbindung wurde somit erfolgreich etabliert !

wdesp - Klicke auf das Bild, um es zu vergrößern

Wird fortgesetzt mit einer VTI Tunnel Konfig der Komponenten und dynamischem Routing...


Weiterführende Foren Links:


Grundkonfiguration von Cisco VPN Routern mit ADSL/VDSL:
https://www.administrator.de/contentid/179345

VPN IPsec IKEv1 Standort Kopplung unterschiedlicher Hardware:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...

VPN IPsec IKEv1 Standort Kopplung mit Cisco VTI Tunnel Interface:
https://www.administrator.de/content/detail.php?id=332230&token=14#c ...

VPN IPsec IKEv1 Vernetzung mit GRE Tunnel und dynamischem RIPv2 Routing auf Mikrotik und Cisco:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=397059&token=888#
https://administrator.de/forum/zwischen-miktrotik-pfsense-gre-tunnel-ips ...

VPN IPsec IKEv1 Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. OSPF Routing:
https://administrator.de/content/detail.php?id=396127&token=466#comm ...

Klassische Mikrotik IKEv1 Standort Kopplung mit Passwort:
https://administrator.de/content/detail.php?id=564730&token=608#comm ...

pfSense Firewall für mobile, bordeigene Windows, Linux, Mac OS und Smartphone VPN Clients einrichten:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Mitglied: LuziMarko
11.02.2020 um 11:48 Uhr
Respekt Danke schön
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aquiLAN, WAN, Wireless5 Kommentare

Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials. Es beschreibt eine ...

Netzwerke

PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Anleitung von aquiNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Netzwerkmanagement

How To Mikrotik Netinstall

Anleitung von areanodNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Anleitung von aquiNetzwerke89 Kommentare

Allgemeine Einleitung Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie ...

Neue Wissensbeiträge
Off Topic
Wann gibt es mehr Bits als Atome?
Information von AnkhMorpork vor 4 StundenOff Topic10 Kommentare

Boys 'n' girls, Freitagslektüre: Wenn Computertechnologie und Digitalisierung sich so weiterentwickeln, könnte die Zahl der digitalen Bits in 150 ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security (WFBS) 10.0 SP1 - Critical Patch veröffentlicht!

Information von VGem-e vor 7 StundenSicherheits-Tools3 Kommentare

Servus, siehe hier. Download-Link hier swfbs/10.0WFBS_100_SP1_All_MSA_11.7_HFB1073.exe Nähere Infos habe ich online noch nicht gefunden. Gruß VGem-e

Humor (lol)

Wie verhindere ich, dass Websitebesucher die Werbecookies abschalten?

Information von DerWoWusste vor 2 TagenHumor (lol)9 Kommentare

Ich habe gerade auf die Antwort gefunden: ich täusche einen langwierigen Änderungsprozess vor und biete nebenbei einen Cancelbutton, den ...

Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 2 TagenSicherheit4 Kommentare

Eine interessante neue Sicherheitslücke. Details gibt es wenig, edit: doch, jetzt hab ich was: aber die klare Empfehlung: ...

Heiß diskutierte Inhalte
Windows Server
Patchday August Server 2019 - zerstört Hyper V Dienste
Frage von ichkriegediekrieseWindows Server20 Kommentare

Guten Morgen alle zusammen Gestern habe ich, wie oft die Sicherheitsupdates vom Patchday eingespielt da ja doch einige Sicherheitsupdates ...

Hardware
Azubi Projekt - Serverhardware
Frage von nachgefragtHardware19 Kommentare

Hallo Administratoren, für ein Azubi-Projekt benötige ich euren Rat, um ihr das Thema Serverhardware näher zu bringen: Server zusammenbauen ...

iOS
Facetime Nummer
gelöst Frage von ral9004iOS16 Kommentare

Hallo Ein Kollege bat mich, ihm für den Videochat meine Facetime Nummer zu mailen. Meine Facetime App läuft auf ...

Windows Server
MSI Installation als User auf TS funktioniert nicht
Frage von support-itWindows Server16 Kommentare

Guten Tag zusammen, ich habe eine Frage bezüglich der Installation von einer MSI-Datei auf einem Server 2016 Datacenter Terminalserver. ...

Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...