Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- lager:oeff_netze:vpn_vertiefung [13.11.2017 20:29] – richard
+++ lager:oeff_netze:vpn_vertiefung [30.04.2023 15:53] (aktuell) – Status der Diskussion geändert richard
@@ Zeile 1: / Zeile 1: @@
-~~DISCUSSION|Ergänzungen~~
+~~DISCUSSION:closed|Ergänzungen~~
 ====== VPN-Laborübung Vertiefung ======
@@ Zeile 17: / Zeile 17: @@
 Die Verbindung soll als Tunnel mit automatischer Schlüsselaushandlung (IKE/ISAKMP) aufgebaut werden. Als VPN-Gateway wird der MikroTik-Server eingesetzt, indem dieser auf zwei PCs jeweils als virtuelle Maschine angelegt wird. Als Clients werden zwei normale PCs verwendet.
-===== Vorbereitung für die Inbetriebnahme der MikroTik-Router =====
-**HINWEIS:** Wenn mit virtuellen Maschinen gearbeitet wird, dann sind die **[[network:labornutzung#arbeiten_mit_virtuellen_maschinen_vm | notwendigen Anpassungen]]** auf jeden Fall zu berücksichtigen. Ansonsten wird die Anwendung u.U. nicht funktionieren.
+===== VPN-Konfiguration der VPN-Gateways =====
-Das **x86/CD-Image** für die Installation lässt sich **[[https://mikrotik.com/download |hier die aktuelleste Version]]** oder ältere Version [[http://www.mikrotik-software.de/downloads/| hier]] runterladen. Es sollte das **Current**-CD-Image für **x86** verwendet werden. Die Dateinamen folgen dem Schema ''mikrotik-M.SV.B.iso'' wobei ''M.SV.B''((M=main, SV=subversion, B=bugfix-level)) die Version angibt z.B. ''mikrotik-6.40.5.iso''.
-===== MikroTik-VM Installation =====
-Der MikroTik-Router wird als ISO-Image in eine neue VM((VirtualBox)) eingebunden. Die Maschine sollte mit den folgenden Parametern problemlos laufen:
-  * Linux -> Other Linux
-  * 1024 MB RAM
-  * 2 GB Festplatte (dynamisch)
-  * 2 Netzwerkschnittstellen; eine als öffentliche (''public'') und eine als lokale (''private'')
-Bei der Installation wird man nach Paketen gefragt. Folgende Pakete sollten ausgewählt werden:
-  * ''system'' (default aktiviert)
+Die IP-Adressen MikroTik-Router ist auf der Vorderseite der Geräte aufgedruckt. Diese IP-Adresse ist jeweils auf Port 1 (''ether1'') konfiguriert und kann direkt über die ''gelbe''-Leitung erreicht werden.
-  * ''security'' (IPsec Funktionen)
-Die Installation wird durch ''i''((i: install)) gestartet. Anschließend muss man nochmals bestätigen, dass der Vorgang alles löscht. Die Software geht von einer englischen Tastatur aus, das bedeutet es muss ''z'' eingegeben werden, um die Installation zu starten.
+**ACHTUNG: Alle Anwendungen sollten auf anderen Ports als dem Konfigurations-Port eingerichtet werden, damit der Zugang gewährleistet bleibt. Sprich keine weiteren IP-Adressen oder VLANs auf ''ether1'' einrichten. Ansonsten ist der MikroTik-Router nicht mehr erreichbar.**
-Nach der erfolgreichen Installation wird das System neugestartet. **ACHTUNG:** Das CDROM-Image muss entfernt werden, da ansonsten immer von diesem gestartet wird. Dies kann über das CD-ROM-Symbol am unteren Fensterrand der VM durchgeführt werden. Das Auswerfen des Image kann erzwungen werden, sobald der Router nach einem Neustart fragt.
 Standard-Zugangsdaten:
-|Benutzer: | **admin** |
+|Benutzer: | **schueler** |
 |Passwort: | **KEIN PASSWORT**((einfach Return)) |
-==== MikroTik-VM Grundeinrichtung ====
-Zuerst noch ein paar Tipps, die das Leben mit dem MikroTik-Router erleichtern können.
-**HINWEIS**: Das vorangestellte Zeichen ''/''((''/'': Slash)) bedeutet, dass der nachfolgende Befehl auf der höchsten Konfigurationsebene ausgeführt wird. Man kann sich die Befehlsstruktur wie ein Dateisystem vorstellen wobei ''/'' wie unter Linux üblich die Wurzel (''root'') darstellt.  Mit ''..''((''..'' unter Linux ''cd ..'' change directory)) gelangt man eine Befehlsebene höher.
-**TIPP TAB-Taste "Dein Freund"**: Der MikroTik-Router unterstützt auf der Command-Line (CLI) wie viele Netzelemente die Autovervollständigung per ''TAB''-Taste. D.h.
-wenn man den Befehl nicht genau kennt, kann man durch ''TAB'' die nächsten Optionen anzeigen lassen. Hat man noch keinen Befehl eingegeben, so werden alle auf aktuellen Ebene möglichen Befehle angezeigt.
-**TIPP Befehle abkürzen**: Für die ganz Faulen -> Wird ein Befehl durch die ersten Buchstaben eindeutig erkannt, dann verändert sich die Farbe der Schrift zu türkis (Befehl) oder lila
-(Parameter). Man kann sich dann das vervollständigen ersparen.
-**TIPP englisches Tastatur-Layout**: Leider unterstützt der MikroTik nur ein englisches Tastatur-Layout. Hier die häufigsten Zeichen und wo sie auf einer deutschen Tastatur im englischen Layout zu finden sind:
-^ gewünschtes Zeichen ^ deutsche Tastatur ^
-| '' /'' | ''-'' |
-| ''-'' | ''ß'' |
-| ''?'' | ''_'' also SHIFT+''-'' |
-| ''='' | ''´'' (links neben ''BACKSPACE'') |
-| ''y'' | ''z'' |
-| ''z'' | ''y'' |
-| ''*'' | SHIFT+''8'' |
-| '':'' | ''ö'' |
-Damit die IP-Adressen auf den richtigen Schnittstellen eingerichtet werden, muss zunächst die Zuordnung der physikalischen Schnittstellen (''eth1'', ''eth2'') des PCs mit den internen Schnittstellen des MikroTik-Router (''ether1'', ''ether2'') notiert werden. Gegebenenfalls muss hier die Zuordnung über VirtualBox angepasst werden.
-Die MAC-Adressen lassen sich mit dem folgenden Befehl anzeigen:
-<code>/interface ethernet print </code>
-Einrichten der IP-Adresse des MikroTik über die Konsole (die **IP-Adresse/Schnittstelle sind anzupassen**)
-<code>/ip address add address=10.0.0.1/8 interface=ether1</code>
-<code>/ip address add address=80.0.0.1/8 interface=ether2</code>
-Mit dem folgenden Befehl lässt sich die IP-Adresse überprüfen:
-<code>/ip address print </code>
-Sollten noch weitere IP-Adressen (insbesondere die Default Adresse) aufgelistet werden, so sollten diese durch den folgenden Befehl gelöscht werden:
-<code>/ip address remove numbers=0</code>
-===== VPN-Konfiguration der VPN-Gateways =====
 Nach dem die MikroTik-Router per IP-Adressen erreichbar sind, können diese entweder über das Webfrontend konfiguriert werden oder weiterhin über die ''CLI''. Im Firefox muss der Proxy unter ''Bearbeiten -> Einstellungen -> Erweitert -> Netzwerk -> Verbindungen -> Einstellungen'' deaktiviert werden, damit das Webfrontend über den Browser erreichbar wird. Das Webfrontend kann dann über den Browser unter der oben konfigurierten IP erreicht werden. Hier ist das Handbuch zum Webfrontend zu finden: [[http://wiki.mikrotik.com/wiki/Manual:Webfig | MikroTik-Webfig-Handbuch ]]
@@ Zeile 90: / Zeile 34: @@
 Folgende Punkte sind für die Site-to-Site Verbindung auf dem MikroTik-Router zu konfigurieren:
-  * [[lager:oeff_netze:vpn_vertiefung#mikrotik-VM_grundeinrichtung|IP-Adressen]] (''private''/''public'')
+  * [[lager:oeff_netze:vpn_vertiefung#grundkonfiguration_der_ip-adressen|IP-Adressen]] (''private''/''public'')
   * [[lager:oeff_netze:vpn_vertiefung#route_in_lokale_netze|Route]] ins ''remote-private''-Netz mit dem zweiten MikroTik als Gateway
   * [[lager:oeff_netze:vpn_vertiefung#proposal_beide_router_gleich|IPsec-Proposal]] (Authentication-Algorithmus, Encryption-Algorithmus, Name)
@@ Zeile 107: / Zeile 51: @@
 | ''locale-privat''-Amy | IP-Adresse | ''10.0.0.**1**/8'' |  private IP-Adresse von Amy (dient als Gateway für LAN) |
 | ''public''-Berny | IP-Adresse | ''80.0.0.**2**/8'' | öffentliche IP-Adresse von Berny |
-| ''remote-privat''-Berny | IP-Adresse | ''20.0.0.**1**/8'' | private IP-Adresse von Amy (dient als Gateway für LAN) |
+| ''remote-privat''-Berny | IP-Adresse | ''20.0.0.**1**/8'' | private IP-Adresse von Berny (dient als Gateway für LAN) |
 **HINWEIS**: ''remote'' und ''privat'' ist hier bezogen auf Amy. Für Berny sind diese Beziehung jeweils entgegengesetzt.
 Die nächsten Abschnitte erklären die notwendigen Konfigurationen bezogen auf das vorangegangene Schema.
+**ACHTUNG: Bevor mit der Konfigurationsarbeit begonnen wird, sollte eine Skizze mit alle IP-Adressen angefertigt werden, da ansonsten der Überblick verloren geht.**
+==== Grundkonfiguration der IP-Adressen ====
+Einrichten der IP-Adresse des MikroTik über die Konsole (die **IP-Adresse/Schnittstelle sind anzupassen**) Die IP-Adressen müssen gemäß des obigen Schemas vergeben werden.
+<code>/ip address add address=10.0.0.1/8 interface=ether3</code>
+<code>/ip address add address=80.0.0.1/8 interface=ether4</code>
+Mit dem folgenden Befehl lässt sich die IP-Adresse überprüfen:
+<code>/ip address print </code>
+**ACHTUNG: Der folgende LÖSCH-Befehl darf nicht auf der Konfigurationsschnittstelle ether1 ausgeführt werden, da ansonsten die Konfigurationsschnittstelle nicht mehr erreichbar ist. **
+Falls eine IP-Adresse falsch konfiguriert wurde, kann diese durch den folgenden Befehl gelöscht werden. Die angegebene Nummer (hier:''1'') kann man über ''print'' herausfinden.:
+<code>/ip address remove numbers=1</code>
 ==== Route in lokale Netze ====
@@ Zeile 154: / Zeile 115: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>/ip ipssec proposal print</code>
+<code>/ip ipsec proposal print</code>
 ==== Security-Association (SA) für die VPN-Gegenstellen ====
 Die SA beschreibt die Parameter der eigentlichen Nutzverbindung. Hier werden die Parameter für die Schlüsselgenerierung (DH) sowie der Verschlüsselungsalgorithmus festgelegt.
-Daüberhinaus müssen noch die Gegenstelle sowie ein Passwort zur Authentifizierung festgelegt werden. Dies wird in diesem Beispiel per ''Preshared-Key'' realisiert.
+Darüber hinaus müssen noch die Gegenstelle sowie ein Passwort zur Authentifizierung festgelegt werden. Dies wird in diesem Beispiel per ''Preshared-Key'' realisiert.
 Der Befehl für das Einrichten der SA einer Seite ist wie folgt aufgebaut:
@@ Zeile 172: / Zeile 133: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>/ip ipssec peer print</code>
+<code>/ip ipsec peer print</code>
 ==== Security-Policy (SP) für den Nutzdatentransport ====
-Die SPs stellen die Regeln für die Behandlung der eigentlichen Nutzdaten dar. Diese enthalten jeweils Quell-/Ziel-LAN und die weitereleitenden VPN-Gateways.
+Die SPs stellen die Regeln für die Behandlung der eigentlichen Nutzdaten dar. Diese enthalten jeweils Quell-/Ziel-LAN und die weiterleitenden VPN-Gateways.
 Der Befehl für das Einrichten der SP ist wie folgt aufgebaut:
-<code>/ip ipsec policy add dst-address=20.0.0.0/8 sa-dst-address=80.0.0.2 sa-src-address=80.0.0.1\
+<code>/ip ipsec policy add dst-address=20.0.0.0/8 sa-dst-address=80.0.0.2 sa-src-address=80.0.0.1 src-address=10.0.0.0/8 tunnel=yes</code>
-    src-address=10.0.0.0/8 tunnel=yes</code>
 ^ Parameter ^ Bedeutung ^ Wert ^ Bemerkung ^
@@ Zeile 192: / Zeile 152: @@
 Zur Überprüfung der Konfiguration kann folgender Befehl verwendet werden:
-<code>/ip ipssec policy print</code>
+<code>/ip ipsec policy print</code>
@@ Zeile 208: / Zeile 168: @@
 # ACHTUNG: Die nächsten Befehle nur ausführen, falls die IP-Adressen der beiden Schnittstellen noch nicht konfiguriert wurden; sollte bereits mit der Grundeinrichtung erledigt sein
 #/ip address
-#add address=80.0.0.1/8 interface=ether1
+#add address=80.0.0.1/8 interface=ether3
-#add address=10.0.0.1/8 interface=ether2
+#add address=10.0.0.1/8 interface=ether4
 # Routen ins jeweilige remote-private-Netz bekannt machen; Gateway jeweils das VPN-Partner-Gateway
@@ Zeile 246: / Zeile 206: @@
 Die Client-PCs benötigen keine aufwendige Konfiguration. Hier müssen lediglich die entsprechenden IP-Adressen in die privaten Netze gesetzt werden und als Gateways jeweils die private IP-Adresse des lokalen VPN-Gateways.
-Zur Erinnerung hier der Befehl:
+Zur Erinnerung hier die Befehle:
-<code>sudo ip addr add <IP-ADRESSE>/<PREFIX> dev eth0</code>
+<code>
+# IP-Adresse setzen
+sudo ip addr add <IP-ADRESSE>/<PREFIX> dev eth1
+# Default-Route setzen
+sudo ip route add default via <GW-ADRESSE>
+</code>
-''<IP-ADRESSE>'' und ''<PREFIX>'' sind selbstverständlich an die eigenen Bedürfnisse anzupassen.
+''<IP-ADRESSE>'', ''<PREFIX>'' und ''<GW-ADRESSE>'' sind selbstverständlich an die eigenen Bedürfnisse anzupassen.