Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:oeff_netze:vpn_vertiefung [2017/11/12 19:03] – richard
+++ lager:oeff_netze:vpn_vertiefung [2025/11/19 16:15] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
-~~DISCUSSION|Ergänzungen~~
+~~DISCUSSION:closed|Ergänzungen~~
 ====== VPN-Laborübung Vertiefung ======
@@ Zeile 5: / Zeile 5: @@
 Als Anwendung soll ein Site-to-Site VPN aufgebaut werden. Hierzu werden folgende Elemente benötigt:
-  * zwei [[lager:oeff_netze:vpn_vertiefung#vorbereitung_fuer_die_inbetriebnahme_der_mikrotik-router | MikroTik-Router als VPN-Gateways ]] auf jeweils einem Labor-PC (public/private networks)
+  * zwei VMs mit dem [[lager:oeff_netze:vpn_vertiefung#vorbereitung_fuer_die_inbetriebnahme_der_mikrotik-router | MikroTik-Router als VPN-Gateways ]] auf jeweils einem Labor-PC installiert werden (public/private networks)
-  * zwei [[lager:oeff_netze:vpn_vertiefung#client_konfiguration | Labor-PCs als Clients ]] (private networks)
+  * zwei [[lager:oeff_netze:vpn_vertiefung#client_konfiguration | Labor-PCs als Clients ]] (private networks), die als LAN-Clients konfiguriert werden.
-  * ein-zwei Switch ggf. ein Hub zum Mitschneiden der VPN-Verbindung
+  * ein-zwei Switch ggf. ein Hub zum Mitschneiden der VPN-Verbindung ((Es können theoretisch alle Verbindungen über einen Switch geführt werden, da bis auf die VPN-Verbindung keine logische Kommunikation möglich ist))
 Insgesamt werden also 4 Labor-PCs und 1-2 Switche benötigt.
@@ Zeile 17: / Zeile 17: @@
 Die Verbindung soll als Tunnel mit automatischer Schlüsselaushandlung (IKE/ISAKMP) aufgebaut werden. Als VPN-Gateway wird der MikroTik-Server eingesetzt, indem dieser auf zwei PCs jeweils als virtuelle Maschine angelegt wird. Als Clients werden zwei normale PCs verwendet.
-===== Vorbereitung für die Inbetriebnahme der MikroTik-Router =====
-**HINWEIS:** Wenn mit virtuellen Maschinen gearbeitet wird, dann sind die **[[network:labornutzung#arbeiten_mit_virtuellen_maschinen_vm | notwendigen Anpassungen]]** auf jeden Fall zu berücksichtigen. Ansonsten wird die Anwendung u.U. nicht funktionieren.
+===== VPN-Konfiguration der VPN-Gateways =====
-Das **x86/CD-Image** für die Installation lässt sich **[[https://mikrotik.com/download |hier die aktuelleste Version]]** oder ältere Version [[http://www.mikrotik-software.de/downloads/| hier]] runterladen. Es sollte das **Current**-CD-Image für **x86** verwendet werden. Die Dateinamen folgen dem Schema ''mikrotik-M.SV.B.iso'' wobei ''M.SV.B''((M=main, SV=subversion, B=bugfix-level)) die Version angibt z.B. ''mikrotik-6.40.5.iso''.
+Die IP-Adressen MikroTik-Router ist auf der Vorderseite der Geräte aufgedruckt. Diese IP-Adresse ist jeweils auf Port 1 (''ether1'') konfiguriert und kann direkt über die ''gelbe''-Leitung erreicht werden.
-===== MikroTik-VM Installation =====
+**ACHTUNG: Alle Anwendungen sollten auf anderen Ports als dem Konfigurations-Port eingerichtet werden, damit der Zugang gewährleistet bleibt. Sprich keine weiteren IP-Adressen oder VLANs auf ''ether1'' einrichten. Ansonsten ist der MikroTik-Router nicht mehr erreichbar.**
-Der MikroTik-Router wird als ISO-Image in eine neue VM((VirtualBox)) eingebunden. Die Maschine sollte mit den folgenden Parametern problemlos laufen:
-  * Linux -> Other Linux
-  * 1024 MB RAM
-  * 2 GB Festplatte (dynamisch)
-  * 2 Netzwerkschnittstellen; eine als öffentliche (''public'') und eine als lokale (''private'')
-Bei der Installation wird man nach Paketen gefragt. Folgende Pakete sollten ausgewählt werden:
-  * ''system'' (default aktiviert)
-  * ''security'' (IPsec Funktionen)
-Die Installation wird durch ''i''((i: install)) gestartet. Anschließend muss man nochmals bestätigen, dass der Vorgang alles löscht. Die Software geht von einer englischen Tastatur aus, das bedeutet es muss ''z'' eingegeben werden, um die Installation zu starten.
-Nach der erfolgreichen Installation wird das System neugestartet. **ACHTUNG:** Das CDROM-Image muss entfernt werden, da ansonsten immer von diesem gestartet wird. Dies kann über das CD-ROM-Symbol am unteren Fensterrand der VM durchgeführt werden. Das Auswerfen des Image kann erzwungen werden, sobald der Router nach einem Neustart fragt.
 Standard-Zugangsdaten:
-|Benutzer: | **admin** |
+|Benutzer: | **schueler** |
 |Passwort: | **KEIN PASSWORT**((einfach Return)) |
-==== MikroTik-VM Grundeinrichtung ====
+Nach dem die MikroTik-Router per IP-Adressen erreichbar sind, können diese entweder über das Webfrontend konfiguriert werden oder weiterhin über die ''CLI''. Im Firefox muss der Proxy unter ''Bearbeiten -> Einstellungen -> Erweitert -> Netzwerk -> Verbindungen -> Einstellungen'' deaktiviert werden, damit das Webfrontend über den Browser erreichbar wird. Das Webfrontend kann dann über den Browser unter der oben konfigurierten IP erreicht werden. Hier ist das Handbuch zum Webfrontend zu finden: [[http://wiki.mikrotik.com/wiki/Manual:Webfig | MikroTik-Webfig-Handbuch ]]
-Zuerst noch ein paar Tipps, die das Leben mit dem MikroTik-Router erleichtern können.
-**HINWEIS**: Das vorangestellte Zeichen ''/''((''/'': Slash)) bedeutet, dass der nachfolgende Befehl auf der höchsten Konfigurationsebene ausgeführt wird. Man kann sich die Befehlsstruktur wie ein Dateisystem vorstellen wobei ''/'' wie unter Linux üblich die Wurzel (''root'') darstellt.  Mit ''..''((''..'' unter Linux ''cd ..'' change directory)) gelangt man eine Befehlsebene höher.
-**TIPP TAB-Taste "Dein Freund"**: Der MikroTik-Router unterstützt auf der Command-Line (CLI) wie viele Netzelemente die Autovervollständigung per ''TAB''-Taste. D.h.
-wenn man den Befehl nicht genau kennt, kann man durch ''TAB'' die nächsten Optionen anzeigen lassen. Hat man noch keinen Befehl eingegeben, so werden alle auf aktuellen Ebene möglichen Befehle angezeigt.
-**TIPP Befehle abkürzen**: Für die ganz Faulen -> Wird ein Befehl durch die ersten Buchstaben eindeutig erkannt, dann verändert sich die Farbe der Schrift zu türkis (Befehl) oder lila
-(Parameter). Man kann sich dann das vervollständigen ersparen.
-**TIPP englisches Tastatur-Layout**: Leider unterstützt der MikroTik nur ein englisches Tastatur-Layout. Hier die häufigsten Zeichen und wo sie auf einer deutschen Tastatur im englischen Layout zu finden sind:
-^ gewünschtes Zeichen ^ deutsche Tastatur ^
-| '' /'' | ''-'' |
-| ''-'' | ''ß'' |
-| ''?'' | ''_'' also SHIFT+''-'' |
-| ''='' | ''´'' (links neben ''BACKSPACE'') |
-| ''y'' | ''z'' |
-| ''z'' | ''y'' |
-| ''*'' | SHIFT+''8'' |
-| '':'' | ''ö'' |
-Damit die IP-Adressen auf den richtigen Schnittstellen eingerichtet werden, muss zunächst die Zuordnung der physikalischen Schnittstellen (''eth1'', ''eth2'') des PCs mit den internen Schnittstellen des MikroTik-Router (''ether1'', ''ether2'') notiert werden. Gegebenenfalls muss hier die Zuordnung über VirtualBox angepasst werden.
-Die MAC-Adressen lassen sich mit dem folgenden Befehl anzeigen:
-<code>/interface ethernet print </code>
-Einrichten der IP-Adresse des MikroTik über die Konsole (die **IP-Adresse/Schnittstelle sind anzupassen**)
-<code>/ip address add address=10.0.0.1/8 interface=ether1</code>
-<code>/ip address add address=80.0.0.1/8 interface=ether2</code>
-Mit dem folgenden Befehl lässt sich die IP-Adresse überprüfen:
-<code>/ip address print </code>
-Sollten noch weitere IP-Adressen (insbesondere die Default Adresse) aufgelistet werden, so sollten diese durch den folgenden Befehl gelöscht werden:
-<code>/ip address remove numbers=0</code>
-===== VPN-Konfiguration der VPN-Gateways =====
-Nach dem die MikroTik-Router per IP-Adressen erreichbar sind, können diese entweder über das Webfront-End konfiguriert werden oder weiterhin über die ''CLI''. Im Firefox muss der Proxy unter ''Bearbeiten -> Einstellungen -> Erweitert -> Netzwerk -> Verbindungen -> Einstellungen'' deaktiviert werden, damit das Webfrontend über den Browser erreichbar wird. Das Webfrontend kann dann über den Browser unter der oben konfigurierten IP erreicht werden. Hier ist das Handbuch zum Webfrontend zu finden: [[http://wiki.mikrotik.com/wiki/Manual:Webfig | MikroTik-Webfig-Handbuch ]]
 Im Folgenden wird nur die CLI-Konfiguration beschrieben. Im Webfrontend finden sich die Parameter unter ''IP'', ''IP-->IPsec'', ''Firewall'' bzw. ''Routes''.
-Folgende Punkte sind für die Site-to-Site Verbindung auf dem MikroTik-Router zu konfiguieren:
+Folgende Punkte sind für die Site-to-Site Verbindung auf dem MikroTik-Router zu konfigurieren:
-  * [[lager:oeff_netze:vpn_vertiefung#mikrotik-VM_grundeinrichtung|IP-Adressen]] (''private''/''public'')
+  * [[lager:oeff_netze:vpn_vertiefung#grundkonfiguration_der_ip-adressen|IP-Adressen]] (''private''/''public'')
   * [[lager:oeff_netze:vpn_vertiefung#route_in_lokale_netze|Route]] ins ''remote-private''-Netz mit dem zweiten MikroTik als Gateway
   * [[lager:oeff_netze:vpn_vertiefung#proposal_beide_router_gleich|IPsec-Proposal]] (Authentication-Algorithmus, Encryption-Algorithmus, Name)
-  * [[lager:oeff_netze:vpn_vertiefung#security-association_sa_fuer_die_vpn-gegenstellen|IPsec-SAs]] (DH-Group, Encryption-Algorithmus, Secret)
+  * [[lager:oeff_netze:vpn_vertiefung#security-association_sa_fuer_die_vpn-gegenstellen|IPsec-SAs]] wird im MikroTik als peer bezeichnet (DH-Group, Encryption-Algorithmus, Secret)
   * [[lager:oeff_netze:vpn_vertiefung#security-policy_sp_fuer_den_nutzdatentransport|IPsec-Policy]] (private Netze und VPN-Gateways, Tunnel-Mode)
   * [[lager:oeff_netze:vpn_vertiefung#firewall-regel_fuer_nat_zwischen_privaten_netzen|NAT aktivieren der Firewall]] für die Verbindung ''local-private'' zu ''remote-private''
@@ Zeile 99: / Zeile 43: @@
 In der Dokumentation des MikroTik-Servers befindet sich eine **[[https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Site_to_Site_IpSec_Tunnel| Beispiel-Konfiguration ]]** für ein Site-to-Site System. Hier wird allerdings davon ausgegangen, dass der private Adressbereich ''192.168.80.0'' und ''192.168.90.0'' für das öffentliche Netz eingesetzt wird und so in zwei Netzen dargestellt wird. Um den Laboraufbau möglichst schlank zu halten soll mit nur EINEM öffentlichen Netz gearbeitet werden z.B. ''80.0.0.0/8''. Die beiden lokalen Netze ''LAN1'' und ''LAN2'' könnten ''10.0.0.0/8'' (Amy) und ''20.0.0.0/8'' (Berny) lauten.
-Die folgende Tabelle zeigt ein mögliches Adress-Schema für den Laboraufbau:
+Die folgende Tabelle zeigt ein mögliches Adressschema für den Laboraufbau:
 ^ Netzelement/Bereich ^ Parameter ^ Wert ^ Bedeutung ^
 | ''locale-privat'' | IP-Netz |''10.0.0.**0**/8'' | privates LAN auf Amys-Seite |
@@ Zeile 107: / Zeile 51: @@
 | ''locale-privat''-Amy | IP-Adresse | ''10.0.0.**1**/8'' |  private IP-Adresse von Amy (dient als Gateway für LAN) |
 | ''public''-Berny | IP-Adresse | ''80.0.0.**2**/8'' | öffentliche IP-Adresse von Berny |
-| ''remote-private''-Berny | IP-Adresse | ''20.0.0.**2**/8'' | private IP-Adresse von Amy (dient als Gateway für LAN) |
+| ''remote-privat''-Berny | IP-Adresse | ''20.0.0.**1**/8'' | private IP-Adresse von Berny (dient als Gateway für LAN) |
 **HINWEIS**: ''remote'' und ''privat'' ist hier bezogen auf Amy. Für Berny sind diese Beziehung jeweils entgegengesetzt.
 Die nächsten Abschnitte erklären die notwendigen Konfigurationen bezogen auf das vorangegangene Schema.
+**ACHTUNG: Bevor mit der Konfigurationsarbeit begonnen wird, sollte eine Skizze mit alle IP-Adressen angefertigt werden, da ansonsten der Überblick verloren geht.**
+==== Grundkonfiguration der IP-Adressen ====
+Einrichten der IP-Adresse des MikroTik über die Konsole (die **IP-Adresse/Schnittstelle sind anzupassen**) Die IP-Adressen müssen gemäß des obigen Schemas vergeben werden.
+<code>/ip address add address=10.0.0.1/8 interface=ether3</code>
+<code>/ip address add address=80.0.0.1/8 interface=ether4</code>
+Mit dem folgenden Befehl lässt sich die IP-Adresse überprüfen:
+<code>/ip address print </code>
+**ACHTUNG: Der folgende LÖSCH-Befehl darf nicht auf der Konfigurationsschnittstelle ether1 ausgeführt werden, da ansonsten die Konfigurationsschnittstelle nicht mehr erreichbar ist. **
+Falls eine IP-Adresse falsch konfiguriert wurde, kann diese durch den folgenden Befehl gelöscht werden. Die angegebene Nummer (hier:''1'') kann man über ''print'' herausfinden.:
+<code>/ip address remove numbers=1</code>
 ==== Route in lokale Netze ====
@@ Zeile 124: / Zeile 85: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>ip route print</code>
+<code>/ip route print</code>
 ==== Firewall-Regel für NAT zwischen privaten Netzen ====
@@ Zeile 139: / Zeile 100: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>ip firewall nat print</code>
+<code>/ip firewall nat print</code>
 ==== Proposal für initialen Verbindungsaufbau ====
@@ Zeile 154: / Zeile 115: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>ip ipssec proposal print</code>
+<code>/ip ipsec proposal print</code>
 ==== Security-Association (SA) für die VPN-Gegenstellen ====
 Die SA beschreibt die Parameter der eigentlichen Nutzverbindung. Hier werden die Parameter für die Schlüsselgenerierung (DH) sowie der Verschlüsselungsalgorithmus festgelegt.
-Daüberhinaus müssen noch die Gegenstelle sowie ein Passwort zur Authentifizierung festgelegt werden. Dies wird in diesem Beispiel per ''Preshared-Key'' realisiert.
+Darüber hinaus müssen noch die Gegenstelle sowie ein Passwort zur Authentifizierung festgelegt werden. Dies wird in diesem Beispiel per ''Preshared-Key'' realisiert.
 Der Befehl für das Einrichten der SA einer Seite ist wie folgt aufgebaut:
@@ Zeile 172: / Zeile 133: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>ip ipssec peer print</code>
+<code>/ip ipsec peer print</code>
 ==== Security-Policy (SP) für den Nutzdatentransport ====
-Die SPs stellen die Regeln für die Behandlung der eigentlichen Nutzdaten dar. Diese enthalten jeweils Quell-/Ziel-LAN und die weitereleitenden VPN-Gateways.
+Die SPs stellen die Regeln für die Behandlung der eigentlichen Nutzdaten dar. Diese enthalten jeweils Quell-/Ziel-LAN und die weiterleitenden VPN-Gateways.
 Der Befehl für das Einrichten der SP ist wie folgt aufgebaut:
-<code>/ip ipsec policy add dst-address=20.0.0.0/8 sa-dst-address=80.0.0.2 sa-src-address=80.0.0.1\
+<code>/ip ipsec policy add dst-address=20.0.0.0/8 sa-dst-address=80.0.0.2 sa-src-address=80.0.0.1 src-address=10.0.0.0/8 tunnel=yes</code>
-    src-address=10.0.0.0/8 tunnel=yes</code>
 ^ Parameter ^ Bedeutung ^ Wert ^ Bemerkung ^
@@ Zeile 192: / Zeile 152: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>ip ipssec policy print</code>
+<code>/ip ipsec policy print</code>
@@ Zeile 208: / Zeile 168: @@
 # ACHTUNG: Die nächsten Befehle nur ausführen, falls die IP-Adressen der beiden Schnittstellen noch nicht konfiguriert wurden; sollte bereits mit der Grundeinrichtung erledigt sein
 #/ip address
-#add address=80.0.0.1/8 interface=ether1
+#add address=80.0.0.1/8 interface=ether3
-#add address=10.0.0.1/8 interface=ether2
+#add address=10.0.0.1/8 interface=ether4
 # Routen ins jeweilige remote-private-Netz bekannt machen; Gateway jeweils das VPN-Partner-Gateway
@@ Zeile 246: / Zeile 206: @@
 Die Client-PCs benötigen keine aufwendige Konfiguration. Hier müssen lediglich die entsprechenden IP-Adressen in die privaten Netze gesetzt werden und als Gateways jeweils die private IP-Adresse des lokalen VPN-Gateways.
-Zur Erinnerung hier der Befehl:
+Zur Erinnerung hier die Befehle:
-<code>sudo ip addr add <IP-ADRESSE>/<PREFIX> dev eth0</code>
+<code>
+# IP-Adresse setzen
+sudo ip addr add <IP-ADRESSE>/<PREFIX> dev eth1
+# Default-Route setzen
+sudo ip route add default via <GW-ADRESSE>
+</code>
-''<IP-ADRESSE>'' und ''<PREFIX>'' sind selbstverständlich an die eigenen Bedürfnisse anzupassen.
+''<IP-ADRESSE>'', ''<PREFIX>'' und ''<GW-ADRESSE>'' sind selbstverständlich an die eigenen Bedürfnisse anzupassen.