VPN mit RC100 und bintec elmeg

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
suhlig97
Beiträge: 4
Registriert: Sa 30.05.2020, 17:10

VPN mit RC100 und bintec elmeg

Beitrag von suhlig97 »

Hallo,

wir haben bei uns eine UTM RC100 mit fester IP am Standort hinterlegt und konfiguriert. In diese tunneln 4 bintec elmeg Router (be.ip plus). Diese sind über eine Dyn DNS Adresse von extern erreichbar.
Diese VPN Verbindungen brechen in unregelmäßigen Abständen immer zusammen. Danach muss ich mich auf die bintec Gerät verbinden und die Tunnel neu starten.
Die Tunnel zeigt es bei den be.ip plus Geräten als aktiv an aber in der Securepoint nicht. 
Vielleicht kann jemand mir einen guten Tipp geben zwecks Konfiguration.
Vielen Dank im Voraus.

VG Sebastian

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Vermutlich entsteht das Problem, weil zwar Phase 1 aufgebaut ist, aber von der UTM keine Phase 2 SA ausgehandelt werden kann. Oft hilft es, einen Dauerping vom be.IP auf das LAN hinter dem Tunnel zu starten (Lokale Dienste / Überwachung Ping-Generator), dann wird Phase 2 vom be.IP gestartet. Besser wäre es jedoch die genaue Ursache zu ermitteln. Außerdem verwende ich möglichst IKEv2 (be.IP und UTM können das).

Gruß

Franz

suhlig97
Beiträge: 4
Registriert: Sa 30.05.2020, 17:10

Beitrag von suhlig97 »

Können Sie mir da vielleicht eine Beispielkonfiguration zukommen lassen als Bild z.B?
So wie halt die Einstellungen in Securepoint und be.ip + im Modus IKEv2 auszusehen hat?

Danke im voraus.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Sebastian,

ich habe am Wochenende einen Bintec durch eine UTM abgelöst!

Auf die UTM verbinden sich 12 be.IP per IKEv1-IPSec-Tunnel.
Bisher schein es stabil zu laufen. Allerdings waren paar Besonderheiten zu beachten.
Statt PSK habe ich Zertifikate für die Absicherung und die IDs der Endpinkte verwendet. Das ist ja ganz einfach mit der UTM.

IKEv2 konnte ich in dem Fall nicht verwenden, weil ich teilweise 2 Subnetze über den Tunnel schicken musste.
Das funktionierte leider nicht zwischen Bintec und Securepoint UTM. Ich werde da mal beim Support nachfragen (route-based vs. policy-based IPSec).

Ich melde mich in den nächsten Tagen nochmal dazu.

Gruß

Franz

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Aktuell muss man das ueber die CLI konfigurieren:

> CLI
> ipsec get
> subnet_id ermitteln
> Dann entsprechend konfigurieren

Beispiele:

ipsec subnet set subnet_id "x" local_subnet "192.168.0.0/24,192.168.1.0/24,192.168.66.0/24"
ipsec subnet set subnet_id "x" remote_subnet "192.168.100.0/24,192.168.200.0/24,192.168.166.0/24"

Danach im Webinterface den Tunnel aufrufen und einmal speichern. Dann sollten die Einstellungen gesichert und die Konfiguration geschrieben sein. (Geht wahrscheinlich schneller als ueber die CLI mit "system update")

Danach den IPSEC-Dienst ueber Anwendungen > Anwendungssteuerung stoppen und neu starten


Das wird wahrscheinlich bald auch direkt im Webinterface umsetzbar sein.


Und natuerlich vor dem Prozedere die Konfig manuell sichern und herunter laden!
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Danke für den Hinweis, Mario!

Jetzt scheint es zu funktionieren.
Werde es morgen ausführlich testen.

Wäre auch route-based IPSec mit dynamischen Routen möglich?

Gruß

Franz

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Das kann ich leider nicht sagen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

suhlig97 hat geschrieben: Können Sie mir da vielleicht eine Beispielkonfiguration zukommen lassen als Bild z.B?
So wie halt die Einstellungen in Securepoint und be.ip + im Modus IKEv2 auszusehen hat?

Danke im voraus.
Bitte schicken Sie mir mal eine PN.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Der Hinweis von Mario bezüglich IKEv2 hat hinsichtlich der Geräte von Bintec nur bedingt weitergeholfen, aber sie waren bei VPN zwischen UTM und Azure die Lösung, wenn mehrere Subnetze zu verbinden sind.

IPSec-VPN mit IKEv2 zwischen UTM und Bintec Geräten sind völlig problemlos und sehr stabil, solange nur ein Subnetz-Paar verbunden werden muss.
Auf der UTM habe ich sämtliche Tunnel als "Incoming" konfiguriert und in Phase-2 "Neustart nach Abbruch" abgeschaltet. Bei den be.IP habe ich im Menü "Überwachung" einen "Ping-Generator" mit der UTM in der Zentrale als Ziel eingerichtet, was den sofortigen Aufbau der Phase-2-SA auslöst, denn das passiert bei Bintec erst dann, wenn tatsächlich Netzwerkverkehr über den Tunnel angefordert wird. Den Startmodus des Tunnels habe ich unter "Erweiterte IPSec-Optionen" auf "Immer" eingestellt (Aufbau und Halten der Phase-1-SA).


Falls auf der UTM-Seite mehrere Netze an den Bintec Gegenstellen verfügbar gemacht werden sollen (per IKEv2), habe ich zwar eine Lösung gefunden, diese bedingt jedoch, dass neben dem Hinweis von Mario auf der Bintec Seite in die Trickkiste gegriffen und zusätzlich manuell Routen eingetragen werden müssen. Vielleicht lässt sich mit dem Support noch klären, wie ein automatisierter Austausch der Routen per Routingprotokoll (echtes route-based IPSec-VPN) hinzubekommen ist. Besonders im Hinblick auf Azure oder RZ-Anbindung wäre das sicher eine sinnvolle Sache.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Sebastian,

inzwischen laufen die IKEv2-VPN zwischen Bintec und UTM selbst dann problemlos, wenn auf beiden Seiten mehrere Subnetze verbunden werden müssen.

Mario hatte den richtigen Hinweis geliefert. Allerdings muss auch auf der Seite des Bintec eine Einstellung geändert werden, die über das normale Webinterface nicht angeboten wird. Aber über den SNMP-Browser kann man den Tunnel so konfigurieren, dass nur eine Child-SA aufgebaut wird (analog zur Anpassung der UTM Phase-2).
Auf den zuvor genannten Dauerping kann man verzichten, denn die SA werden spontan aufgebaut.

Hier eine stichpunktartige Kurzanleitung mit Screenshots: Kurzanleitung

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Moin!

Vielen Dank fuer Ihre Unterstuetzung!
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

suhlig97
Beiträge: 4
Registriert: Sa 30.05.2020, 17:10

Beitrag von suhlig97 »

Franz hat geschrieben:
suhlig97 hat geschrieben: Können Sie mir da vielleicht eine Beispielkonfiguration zukommen lassen als Bild z.B?
So wie halt die Einstellungen in Securepoint und be.ip + im Modus IKEv2 auszusehen hat?

Danke im voraus.
Bitte schicken Sie mir mal eine PN.
Habe leider keine Rechte mit PN. Habe Ihnen glaube ich auch auf Iherer Website im Kontaktformular geschrieben

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Von bitec elmeg gibt eine aktuelle Firmware, die einige Probleme und Inkompatibilitäten im Zusammenhang mit IPSec und IKEv2 behebt.
Interessant sind insbesondere die Hinweise unter Punkt 5 (Erweiterte Konfiguration).

Gruß

Franz

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hier aktuelle Erfahrungen zu IPSec mit IKEv2 zwischen Securepoint UTM und bintec elmeg Geräten (z. B. be.IP)

Das weiter oben beschriebene Vorgehen mit dem Unterbringen sämtliche Subnetz-Paare in einer Phase-2-SA funktioniert nach meinen Erkenntnissen nur bis zur Firmware Version V.10.2.9.102 der bintec elmeg Geräte einwandfrei.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ja. Die in der Bintec-Anleitung, die Sie gepostet haben, weist auch darauf hin. Dort sind aber auch allgemein sehr nuetzliche Infos bezueglich IPSEC enthalten.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten