Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense (OPNsense) und Mikrotik

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

08.02.2020, aktualisiert 13.02.2020, 959 Aufrufe, 1 Kommentar, 9 Danke


1.) Allgemeine Einleitung:

Dieses Tutorial ist eine kurze Ergänzung zum allgemeinen IPsec Site_to_Site_VPN_Tutorial hier im Forum. Dieses Tutorial schildert VPN Standort Kopplungen mit IKEv1 und IPsec. IKEv1 (Internet Key Exchange Protocol) ist ein langjähriger, standartisierter Protokoll Klassiker und deshalb sehr weit verbreitet. Es ist so gut wie in allen VPN Routern, Firewalls und Betriebssystemen verankert.
Mit IKEv2 steht aber schon seit Längerem ein moderner Nachfolger für VPNs mit IPsec in den Startlöchern, der einige Vorteile gegenüber IKEv1 hat. Das ist im Groben:
  • Weniger Overhead und damit weniger Bandbreiten Verbrauch und schnellerer Tunnelaufbau.
  • EAP Support
  • MOBIKE Support für mobile Endgeräte
  • Integriertes NAT Traversal
  • Besseres Tunnel Keepalive Management
IKEv1 ist nur bedingt kompatibel zu IKEv2. Router oder Firewalls haben oft eine Autodetection an Bord (z.B. pfSense) die erkennen kann, ob ein VPN Connect Request mit IKEv1 oder v2 kommt und passen sich dementsprechend an. Auch supporten viele VPN Endgeräte noch kein IKEv2. Die populäre FritzBox ist so ein Kandidat die derzeit nur IKEv1 spricht. Dies gilt es beim VPN Setup mit IPsec zu beachten.
Viele moderne Betriebssysteme wie z.B. Windows 10, Apple MacOS und auch Linux verwenden in den onboard Clients ebenfalls IKEv2. Bei Windows 10 sogar ausschließlich. Eine IKEv1 Kompatibilität kann dann nur mit zusätzlicher externer Software realisiert werden was das Handling von VPNs nicht unbedingt vereinfacht.
Alles in allem also ein Grund sich etwas näher mit IKEv2 zu beschäftigen.

2.) IKEv2 Demo Konfiguration:

Das Setup ist ähnlich dem oben zitierten IKEv1 Standort VPN Tutorial und selbsterklärend. Alle Router machen NAT am WAN Port mit einer entsprechenden SPI Firewall ins Internet. Cisco Router 2 ist der Responder mit fester, statischer IP. Alle anderen Komponenten nutzen dynamische IPs und zur IPsec Authentisierung Pre Shared Keys mit FQDN Namen (Fully Qualified Domain Names (Hostnamen)), da bei dynamischen IP Adressen eine VPN Tunnel Authenthisierung über die sich ändernde IP fehlschlägt, wenn diese nicht statisch sind.
Eine Sonderstellung nimmt in diesem Design die pfSense Firewall ein die gleichzeitig IKEv2 Responder für den Mikrotik Router ist.
Interessanterweise lässt der Cisco keine IKEv2 SA Assoziierung vom Mikrotik zu. Und das weder mit FQDN Namen noch mit statischer IP Adress Beziehung. Ob das ein Bug auf Cisco oder Mikrotik Seite ist, ist derzeit unklar. Verwendet wurde Cisco IOS 15.6.3(M7) und Router OS Ver. 6.46.3 (Stable Train). (Sollte jemand Infos dazu haben bitte Feedback per PM !)
Der Mikrotik verbindet sich aber fehlerlos per IKEv2 mit der pfSense und dies ist sehr wahrscheinlich wohl auch das häufigere VPN Szenario in Netzwerken kleiner und mittlerer Größe unter Verwendung von Mikrotik und/oder pfSense Hardware.
Es muss nicht extra betont werden das IKEv2 in einer reinen Cisco, pfSense und Mikrotik Umgebung natürlich ebenso fehlerfrei funktioniert.
Das korrespondierende Demo Netzwerk zeigt die folgende Abbildung:

ikev2 - Klicke auf das Bild, um es zu vergrößern

Der geplante spätere zweite Teil des Tutorials erweitert die Konfiguration auf dynamische VTI Interfaces mit GRE Tunnel um alle Standorte mit dynamischem Routing zu versorgen und auch Multicast fähig zu machen. Gleichzeitig ermöglichen VTI Interfaces eine einfachere Firewall Konfiguration. Dazu später mehr...

3.) IKEv2 Setup Cisco:

Der Cisco-2 Router ist hier IPsec Responder mit einer festen statischen IP Adresse am Internet Port. Der Router 3 nutzt eine dynamische WAN IP.

3.1 Setup Cisco-2 Router (Responder):

Die Access Liste "DynVPN" klassifiziert den Traffic der in den VPN Tunnel geht.
Die Access Liste 101 definiert den NAT Traffic. Der VPN Traffic in den jeweiligen Tunneln zu den Standorten soll natürlich transparent geroutet werden und nicht über das NAT gehen und wird deshalb per deny von der NAT Translation ausgenommen.

3.2 Setup Cisco-3 Router (Initiator):

Cisco 3 nutzt eine dynamische IP Adresse.
!
crypto ikev2 proposal IKE2PROP
encryption aes-cbc-256 aes-cbc-192 aes-cbc-128
integrity sha256
group 14
!
crypto ikev2 policy IKE2POL
match fvrf any
proposal IKE2PROP
!
crypto ikev2 keyring KR-1
peer Cisco2
address 10.99.1.222 255.255.255.0
pre-shared-key test1234
!
!
crypto ikev2 profile CISCO2
match fvrf any
match identity remote fqdn Cisco2
identity local fqdn Cisco3
authentication local pre-share
authentication remote pre-share
keyring local KR-1
!
!
crypto ipsec transform-set Testset esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto map IKE2VPN 10 ipsec-isakmp
set peer 10.99.1.222
set transform-set Testset
set pfs group14
set ikev2-profile CISCO2
match address Cisco2VPN
!
!
interface Vlan1
description Lokales LAN
ip address 192.168.77.1 255.255.255.0
ip nat inside
!
interface GigabitEthernet 1/0
description Internet
ip address dhcp
ip nat outside
crypto map IKE2VPN
!
ip nat inside source list 101 interface Vlan99 overload
!
ip access-list extended Cisco2VPN
permit ip 192.168.77.0 0.0.0.255 172.16.7.0 0.0.0.255
!
access-list 101 deny ip 192.168.77.0 0.0.0.255 172.16.7.0 0.0.0.255
access-list 101 permit ip 192.168.77.0 0.0.0.255 any
!
end



4.) IKEv2 Setup pfSense Firewall:

ike2global - Klicke auf das Bild, um es zu vergrößern

4.1 Phase-1 (Peer zu Cisco 2):

ike2p1-1 - Klicke auf das Bild, um es zu vergrößern
ike2p1-2 - Klicke auf das Bild, um es zu vergrößern

4.2 Phase-2 (Peer zu Cisco 2):

ike2p2-1 - Klicke auf das Bild, um es zu vergrößern
ike2p2-2 - Klicke auf das Bild, um es zu vergrößern

4.3 Phase-1 (Peer zu Mikrotik):

ike2p1mt - Klicke auf das Bild, um es zu vergrößern

4.4 Phase-2 (Peer zu Mikrotik):

ike2p2mt - Klicke auf das Bild, um es zu vergrößern


5.) Setup Mikrotik (Initiator):

mtsec - Klicke auf das Bild, um es zu vergrößern

Wichtig: Beim Mikrotik, wie immer bei VPN Designs, in der Firewall das NAT für den VPN Tunnel deaktivieren !
mtnonatpf - Klicke auf das Bild, um es zu vergrößern

Ein abschließender Wireshark Trace auf der "Internet" WAN Verbindung zeigt dann auch, das die Tunnel Verschlüsselung sicher funktioniert und der Inhalt nicht lesbar ist. Eine sichere VPN Tunnelverbindung wurde somit erfolgreich etabliert !

wdesp - Klicke auf das Bild, um es zu vergrößern

Wird fortgesetzt mit einer VTI Tunnel Konfig der Komponenten und dynamischem Routing...


Weiterführende Foren Links:


Grundkonfiguration von Cisco VPN Routern mit ADSL/VDSL:
https://www.administrator.de/contentid/179345

VPN IPsec IKEv1 Standort Kopplung unterschiedlicher Hardware:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...

VPN IPsec IKEv1 Standort Kopplung mit Cisco VTI Tunnel Interface:
https://www.administrator.de/content/detail.php?id=332230&token=14#c ...

VPN IPsec IKEv1 Vernetzung mit GRE Tunnel und dynamischem RIPv2 Routing auf Mikrotik und Cisco:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=397059&token=888#
https://administrator.de/forum/zwischen-miktrotik-pfsense-gre-tunnel-ips ...

VPN IPsec IKEv1 Standort Kopplung Cisco-Mikrotik mit GRE Tunnel und dyn. OSPF Routing:
https://administrator.de/content/detail.php?id=396127&token=466#comm ...

pfSense Firewall für mobile, bordeigene Windows, Linux, Mac OS und Smartphone VPN Clients einrichten:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Mitglied: LuziMarko
11.02.2020 um 11:48 Uhr
Respekt Danke schön
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aquiLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials. Es beschreibt ...

Netzwerke

IPsec VPN Praxis mit Standort Kopplung Cisco, IPCop, pfSense, FritzBox u. a

Anleitung von aquiNetzwerke20 Kommentare

Allgemeine Einleitung Das folgende Tutorial ist eine mehr Technik bezogene Fortsetzung des hier bei Administrator.de schon bestehenden IPsec_VPN_Grundlagen_Tutorials und ...

Netzwerke

IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Anleitung von aquiNetzwerke72 Kommentare

Allgemeine Einleitung Das folgende Tutorial beschreibt die VPN Anbindung von mobilen Benutzern mit Windows 10, Mac OS, Linux sowie ...

Router & Routing

Routed IPsec in pfSense 2.4.4

Tipp von C.R.S.Router & Routing1 Kommentar

Sehr schöne Möglichkeit in pfSense, die ich bislang ganz übersehen hatte: Hat das schon jemand im Einsatz, z.B. für ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 1 StundeHumor (lol)2 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 10 StundenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 23 StundenMicrosoft Office8 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP21 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 820 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...