howto

Draytek Vigor 2910 VPN mit IPSec+L2TP, dynamische IPs

In unserer Firma nutzen wir schon seit geraumer Zeit die Vigor Reihe von Draytek. Zum einem sind sie äußerst stabil im Betrieb und zum anderen können sie eine verschlüsselte Verbindung zu anderen Routern aufbauen und so zwei Netze miteinander verbinden. So kann man sein eigenes kleines VPN mit AES-Verschlüsselung und L2TP Authentifizierung aufbauen.

Eigentlich ist das Einrichten eines VPN mit einem Draytek 2930 kein großes Problem, wenn man weiß wie es geht. (Wie immer…)

Bevor wir uns jetzt aber an das VPN geben, müssen wir vorher noch einige Dinge vorkonfigurieren:

– Ein sicheres Routerpasswort vergeben! WICHITIG!!!
– Die richtige Uhrzeit vergeben. Es wird kein VPN-Tunnel zustande kommen, wenn die beiden Systeme unterschiedlich ticken.

Einstellen kann man den Zeitserver unter:
Systemmanagement >> Zeit und Datum

Hier einfach „Zeit und Datum“ auf „Internet-Zeit“ stellen und einen NTP-Server seiner Wahl eintragen (z.B.: ptbtime1.ptb.de)

NTP Einstellungen

Ist das getan, kann es auch schon losgehen. Erstmal zum besseren Verständnis; wir haben folgende Situation:
Standort A:
dynamische IP-Adresse: standortA.dyndns.org
internes Netz: 192.168.10.0/24 Standort B:
dynamische IP-Adresse: standortB.dnydns.org
internes Netz: 192.168.20.0/24

Unser Ziel ist es, eine LAN-zu-LAN Verbindung herzustellen, bei der die PC von 192.168.10.0 auf die PC von 192.168.20.0 zugreifen können und umgekehrt.

Schritt 1 – Grundeinstellungen an beiden Routern

Unter „VPN und externe Einwahl -> Einwahlmöglichkeiten“ klicken wir lediglich IPSec L2TP an. Eine Einwahl über PPTP ist nicht gewünscht.
Unter „VPN und externe Einwahl ->PPP-Einstellungen“ kann man einstellen welche Start-IP-Adressen die eingewählten Clients bekommen.
Unter „VPN und externe Einwahl -> IPSec Grundeinstellungen“ wird der immer systemweit gültige Pre-Shared Key vergeben. Der PSK sollte auf beiden Routern UNTERSCHIEDLICH sein. Er darf bis zu 63 Zeichen lang sein und sollte aus a-z, A-Z und 0-9 Zeichen bestehen. Bei IPSec-Sicherheitsmethode sollte nach Möglichkeit nur 3DES und AES aktiviert sein.
„VPN und externe Einwahl -> IPSec-Identität“ ist vorerst uninteressant und kommt erst bei Zertifikaten zum Einsatz.

Schritt 2 – Verbindungseinstellung

Jetzt zum Herzstück: Unter „VPN und externe Einwahl -> LAN-zu-LAN“ ein neues Profil anlegen.

Die deutsche Übersetzung des Webmenü ist ab uns zu ein bisschen irreführend, daher werde ich die einzelnen Punkte ausführlich erklären.
Natürlich muss dem Profil ein Name zugeordnet werden und das aktiv-Häkchen sollte ebenfalls angeklickt sein.
Auch wenn ein IPSec-Tunnel keinen wirklichen Server oder Client hat, kann man hier zwischen der Anrufrichtung „Rein“ und „Raus“ unterscheiden. Wobei „Rein“ für „Es kommt eine Verbindung rein“ und „raus“ für „Es geht eine Verbindung raus“ steht.

Schritt 2a – Verbindungseinstellung am Server

Konfigurieren wir zunächst die „Rein „-Verbindung (3. Einstellungen zum Einwählen) am Standort A:

Die Einwahl gestatten wir über „IPSec mit L2TP erforderlich“. So ist sicher gestellt, dass unser VPN-Tunnel unter allen Umständen verschlüsselt wird. Verfügt man über den Luxus von festen IP Adressen am DSL-Anschluss (z.B. bei T-DSL Business) kann man noch eine Remote Gateway-IP definieren und so nur dieser IP gestatten eine Verbindung mit dem Server herzustellen. Da wir dies in diesem Szenario nicht haben, bleibt das Häkchen ungesetzt. Somit können wir auch keine separaten Pre-Shared definieren und das System benutzt den unter „VPN und externe Einwahl -> IPSec Grundeinstellungen“ erstellten Key.

Nun müssen wir noch den Benutzernamen und das Passwort für die L2TP-Authentifizierung vergeben. Hierbei muss man darauf achten, das Passwort nicht größer als zwölf Zeichen zu setzen!

Die Einstellungen unter „4. TCP/IP Netzwerk-Einstellungen“ können bis auf die Remote Netzwerk-IP unverändert bleiben. Hier wird das entfernte private Netz eingetragen. Uns unserem Fall 192.168.20.0

Reinwähl Einstellungen

Schritt 2b – Verbindungseinstellung am Client

Als nächstes kommt die Gegenstelle – die „Raus“-Verbindung (2. Einstellungen zum Rauswählen) am Standort B:

Da beim Server L2TP mit IPSec ein Muss ist, kann man hier entsprechen das Selbe anklicken. Hier ist es aber nun natürlich sehr wichtig die Server-IP bzw. die DynDNS Domain einzutragen. In unserem Fall wird hier „standortA.dyndns.org“ eingetragen. Bei Benutzername und Passwort die gleichen Daten wie bei der vorher konfigurieren „Rein“-Verbindung.
Jetzt kommt der Knackpunkt – der PSK: Hier nun den Pre-Shared Key vom Standort A eintragen, der unter „VPN und externe Einwahl -> IPSec Grundeinstellungen“ definiert worden ist. Buchstabe für Buchstabe, ohne Leerzeichen! Dieses Formular ist ein wenig zickig bei der Annahme des Schlüssels, daher hier noch schnell ein paar Stichworte zu dem was ich schon erlebt habe:

– Es funktioniert des öfteren nicht mit dem Firefox
– copy&paste funktioniert nicht immer – meistens hilft den letzten Buchstaben in den Feldern löschen und von Hand wieder eintragen.
– Das Formular mag nicht alle Sonderzeichen

Falls der Tunnel wider allen Erwarten nicht zu Stande kommen sollte, einfach den PSK einmal mit dem Internet Explorer eingeben und die Verbindung neu an kicken.

Jetzt noch die IPSec-Sicherheitsmethode auf Hoch (ESP) AES mit Authentifizierung stellen, unter „4. TCP/IP Netzwerk-Einstellungen“ die Remote Netzwerk-IP von Standort A (hier: 192.168.10.0) eintippen und speichern.

Rauswähl Einstellungen

Das war schon die ganze Zauberei…
Jetzt kann man seinen verschlüsselten Datenstrom unter „VPN und externe Einwahl -> Verbindungsmanagement“ am Standort B starten und genießen wie die Daten fließen. Wichtig ist, dass die Schrift der VPN-Verbindung grün ist. Das zeigt, dass die Daten verschlüsselt sind.

verbundenes VPN

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s