Kopfload.de - Lad Dein Hirn auf!

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: start » lager » oeff_netze » vpn_vertiefung
Zuletzt angesehen:
lager:oeff_netze:vpn_vertiefung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
lager:oeff_netze:vpn_vertiefung [21.10.2019 17:51] richardlager:oeff_netze:vpn_vertiefung [30.04.2023 15:53] (aktuell) – Status der Diskussion geändert richard
Zeile 1: Zeile 1:
-~~DISCUSSION|Ergänzungen~~+~~DISCUSSION:closed|Ergänzungen~~
 ====== VPN-Laborübung Vertiefung ====== ====== VPN-Laborübung Vertiefung ======
  
Zeile 34: Zeile 34:
  
 Folgende Punkte sind für die Site-to-Site Verbindung auf dem MikroTik-Router zu konfigurieren: Folgende Punkte sind für die Site-to-Site Verbindung auf dem MikroTik-Router zu konfigurieren:
-  * [[lager:oeff_netze:vpn_vertiefung#mikrotik-VM_grundeinrichtung|IP-Adressen]] (''private''/''public'')+  * [[lager:oeff_netze:vpn_vertiefung#grundkonfiguration_der_ip-adressen|IP-Adressen]] (''private''/''public'')
   * [[lager:oeff_netze:vpn_vertiefung#route_in_lokale_netze|Route]] ins ''remote-private''-Netz mit dem zweiten MikroTik als Gateway   * [[lager:oeff_netze:vpn_vertiefung#route_in_lokale_netze|Route]] ins ''remote-private''-Netz mit dem zweiten MikroTik als Gateway
   * [[lager:oeff_netze:vpn_vertiefung#proposal_beide_router_gleich|IPsec-Proposal]] (Authentication-Algorithmus, Encryption-Algorithmus, Name)   * [[lager:oeff_netze:vpn_vertiefung#proposal_beide_router_gleich|IPsec-Proposal]] (Authentication-Algorithmus, Encryption-Algorithmus, Name)
Zeile 51: Zeile 51:
 | ''locale-privat''-Amy | IP-Adresse | ''10.0.0.**1**/8'' |  private IP-Adresse von Amy (dient als Gateway für LAN) | | ''locale-privat''-Amy | IP-Adresse | ''10.0.0.**1**/8'' |  private IP-Adresse von Amy (dient als Gateway für LAN) |
 | ''public''-Berny | IP-Adresse | ''80.0.0.**2**/8'' | öffentliche IP-Adresse von Berny | | ''public''-Berny | IP-Adresse | ''80.0.0.**2**/8'' | öffentliche IP-Adresse von Berny |
-| ''remote-privat''-Berny | IP-Adresse | ''20.0.0.**1**/8'' | private IP-Adresse von Amy (dient als Gateway für LAN) |+| ''remote-privat''-Berny | IP-Adresse | ''20.0.0.**1**/8'' | private IP-Adresse von Berny (dient als Gateway für LAN) |
  
 **HINWEIS**: ''remote'' und ''privat'' ist hier bezogen auf Amy. Für Berny sind diese Beziehung jeweils entgegengesetzt. **HINWEIS**: ''remote'' und ''privat'' ist hier bezogen auf Amy. Für Berny sind diese Beziehung jeweils entgegengesetzt.
 Die nächsten Abschnitte erklären die notwendigen Konfigurationen bezogen auf das vorangegangene Schema. Die nächsten Abschnitte erklären die notwendigen Konfigurationen bezogen auf das vorangegangene Schema.
  
-**ACHTUNG: Bevor mit der Konfigurationarbeit begonnen wird, sollte eine Skizze mit alle IP-Adressen angefertigt werden, da ansonsten der Überblick verloren geht.**+**ACHTUNG: Bevor mit der Konfigurationsarbeit begonnen wird, sollte eine Skizze mit alle IP-Adressen angefertigt werden, da ansonsten der Überblick verloren geht.**
  
 ==== Grundkonfiguration der IP-Adressen ==== ==== Grundkonfiguration der IP-Adressen ====
Zeile 67: Zeile 67:
 <code>/ip address print </code> <code>/ip address print </code>
  
-**ACHTUNG: Der folgende LÖSCH-Befehl darf nicht auf der Konfigurationsschnittstelle ether3 ausgeführt werden, da ansonsten die Konfigurationsschnittstelle nicht mehr erreichbar ist. **+**ACHTUNG: Der folgende LÖSCH-Befehl darf nicht auf der Konfigurationsschnittstelle ether1 ausgeführt werden, da ansonsten die Konfigurationsschnittstelle nicht mehr erreichbar ist. **
  
-Falls eine IP-Adressen falsche konfiguriert wurde, kann diese durch den folgenden Befehl gelöscht werden. Die angegebene Nummer (hier:''1'') kann man über ''print'' herausfinden.:+Falls eine IP-Adresse falsch konfiguriert wurde, kann diese durch den folgenden Befehl gelöscht werden. Die angegebene Nummer (hier:''1'') kann man über ''print'' herausfinden.:
 <code>/ip address remove numbers=1</code> <code>/ip address remove numbers=1</code>
  
Zeile 119: Zeile 119:
 ==== Security-Association (SA) für die VPN-Gegenstellen ==== ==== Security-Association (SA) für die VPN-Gegenstellen ====
 Die SA beschreibt die Parameter der eigentlichen Nutzverbindung. Hier werden die Parameter für die Schlüsselgenerierung (DH) sowie der Verschlüsselungsalgorithmus festgelegt. Die SA beschreibt die Parameter der eigentlichen Nutzverbindung. Hier werden die Parameter für die Schlüsselgenerierung (DH) sowie der Verschlüsselungsalgorithmus festgelegt.
-Daüberhinaus müssen noch die Gegenstelle sowie ein Passwort zur Authentifizierung festgelegt werden. Dies wird in diesem Beispiel per ''Preshared-Key'' realisiert.+Darüber hinaus müssen noch die Gegenstelle sowie ein Passwort zur Authentifizierung festgelegt werden. Dies wird in diesem Beispiel per ''Preshared-Key'' realisiert.
  
 Der Befehl für das Einrichten der SA einer Seite ist wie folgt aufgebaut: Der Befehl für das Einrichten der SA einer Seite ist wie folgt aufgebaut:
Zeile 137: Zeile 137:
  
 ==== Security-Policy (SP) für den Nutzdatentransport ==== ==== Security-Policy (SP) für den Nutzdatentransport ====
-Die SPs stellen die Regeln für die Behandlung der eigentlichen Nutzdaten dar. Diese enthalten jeweils Quell-/Ziel-LAN und die weitereleitenden VPN-Gateways.+Die SPs stellen die Regeln für die Behandlung der eigentlichen Nutzdaten dar. Diese enthalten jeweils Quell-/Ziel-LAN und die weiterleitenden VPN-Gateways.
  
 Der Befehl für das Einrichten der SP ist wie folgt aufgebaut: Der Befehl für das Einrichten der SP ist wie folgt aufgebaut:
-<code>/ip ipsec policy add dst-address=20.0.0.0/8 sa-dst-address=80.0.0.2 sa-src-address=80.0.0.1+<code>/ip ipsec policy add dst-address=20.0.0.0/8 sa-dst-address=80.0.0.2 sa-src-address=80.0.0.1 src-address=10.0.0.0/8 tunnel=yes</code>
-    src-address=10.0.0.0/8 tunnel=yes</code>+
  
 ^ Parameter ^ Bedeutung ^ Wert ^ Bemerkung ^ ^ Parameter ^ Bedeutung ^ Wert ^ Bemerkung ^
lager/oeff_netze/vpn_vertiefung.1571673110.txt.gz · Zuletzt geändert: 21.10.2019 17:51 von richard
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki