Dieser Configuration Guide zeigt, wie ein GRE-Tunnel innerhalb einer IPsec-Verbindung konfiguriert wird.

Situation

Ein entfernter Router hat mehrere lokale Subnetze, die vom INSYS Smart Device aus adressiert werden müssen. Eine IPsec-Verbindung ermöglicht nur ein Subnetz zu adressieren. Eine GRE-Verbindung kann zu mehr als einem Subnetz aufgebaut werden, aber sie kann nicht verschlüsselt werden. Um verschlüsselte Verbindungen zu mehr als einem Subnetz aufzubauen, ist es möglich, einen GRE-Tunnel durch eine verschlüsselte IPsec-Verbindung zu routen.

Lösung

Es wird vorausgesetzt, dass Sie Zugriff auf das Web-Interface des Routers haben und der Router für eine WAN-Verbindung mit Hilfe des Schnellstart-Assistenten aus den Grundeinstellungen konfiguriert ist. Es wird auch vorausgesetzt, dass der entfernte Router GRE via IPsec unterstützt. Folgende Abbildung zeigt die Netzwerktopologie, die für dieses Beispiel verwendet wird:

cg m3 gre via ipsec

  1. Web-Interface des Routers mit einem Browser aufrufen: 192.168.1.1 [1]

  2. Im Menü InterfacesIPsec einen neuen IPsec-Tunnel hinzufügen () und diesen bearbeiten (): [2]

    • Beschreibung: IPsec tunnel to remote-domain.com

    • IP-Adresse oder Domainname der Gegenstelle: remote-domain.com

    • Lokale Tunneladresse: 192.168.2.0

    • Subnetz lokal: 192.168.2.0 / 24

    • Subnetz der Gegenstelle: 192.168.200.0 / 24

  3. Authentifizierung und Verschlüsselung entsprechend den Einstellungen des entfernten Routers konfigurieren. [3]

  4. Auf Einstellungen speichern klicken.

  5. Im Menü InterfacesGRE einen neuen GRE-Tunnel hinzufügen () und diesen bearbeiten (): [4]

    • Beschreibung: GRE tunnel to remote router

    • IP-Adresse oder Domainname der Gegenstelle: 192.168.200.1

    • Eigene IP-Adresse: 192.168.2.1

    • Lokale Tunneladresse: 10.10.10.10 / 30 [5]

    • GRE-Key: Nur dann einen GRE-Key eingeben, wenn der Router dies erfordert.

  6. Auf Einstellungen speichern klicken.

  7. Im Menü RoutingStatische Routen eine neue Route hinzufügen () und diese bearbeiten (): [6]

    • Beschreibung: IPsec route to 192.168.200.0

    • Anlegen nach Start von: ipsec1

    • Art der Route: Netzwerk 192.168.200.0 / 24

    • Gateway: interface ipsec1

  8. Auf Einstellungen speichern klicken.

  9. Im Menü RoutingStatische Routen eine neue Route hinzufügen () und diese bearbeiten (): [7]

    • Beschreibung: GRE route to 192.168.201.0

    • Anlegen nach Start von: gre1

    • Art der Route: Netzwerk 192.168.201.0 / 24

    • Gateway: interface gre1

  10. Auf Einstellungen speichern klicken.

  11. Die nächsten beiden Routen zu den entfernten Subnetzen 192.168.202.0 und 192.168.203.0 entsprechend hinzufügen.

  12. Im Menü WANWAN-Ketten zu der vom Schnellstart-Assistenten hinzugefügten WAN-Kette gehen (wan1), ein Interface zur WAN-Kette hinzufügen () und dieses bearbeiten (). [8]

  13. Unter Interface den oben definierten IPsec-Tunnel auswählen.

  14. Auf Einstellungen speichern klicken.

  15. Im Menü WANWAN-Ketten zu der vom Schnellstart-Assistenten hinzugefügten WAN-Kette gehen (wan1), ein weiteres Interface zur WAN-Kette hinzufügen () und dieses bearbeiten ().

  16. Unter Interface den oben definierten GRE-Tunnel auswählen.

  17. Auf Einstellungen speichern klicken.

  18. Im Menü Netzfilter → IP-Filter einen neuen Filter hinzufügen () und diesen bearbeiten (): [9]

    • Beschreibung: IPsec (tunnel establishment)

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Ausgehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

    • Ziel-Port: 500

  19. Auf Einstellungen speichern klicken.

  20. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [10]

    • Beschreibung: IPsec protocol ESP

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: ESP

    • Ausgehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

  21. Auf Einstellungen speichern klicken.

  22. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [11]

    • Beschreibung: IPsec UDP Port 4500 (NAT traversal)

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Ausgehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

    • Ziel-Port: 4500

  23. Auf Einstellungen speichern klicken.

  24. Im Menü Netzfilter → IP-Filter einen neuen Filter hinzufügen () und diesen bearbeiten (): [9]

    • Beschreibung: IPsec (tunnel establishment)

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Eingehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

    • Ziel-Port: 500

  25. Auf Einstellungen speichern klicken.

  26. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [10]

    • Beschreibung: IPsec protocol ESP

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: ESP

    • Eingehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

  27. Auf Einstellungen speichern klicken.

  28. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [11]

    • Beschreibung: IPsec UDP Port 4500 (NAT traversal)

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Eingehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

    • Ziel-Port: 4500

  29. Auf Einstellungen speichern klicken.

  30. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [12]

    • Beschreibung: Traffic through the IPsec tunnel sent by the router

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: Alle

    • Ausgehendes Interface: ipsec1

  31. Auf Einstellungen speichern klicken.

  32. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [13]

    • Beschreibung: Traffic through the IPsec tunnel sent to the router

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: ipsec1

  33. Auf Einstellungen speichern klicken.

  34. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [14]

    • Beschreibung: GRE (tunnel establishment)

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: GRE

    • Ausgehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

  35. Auf Einstellungen speichern klicken.

  36. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [14]

    • Beschreibung: GRE (tunnel establishment)

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: GRE

    • Eingehendes Interface: Die verwendete WAN-Schnittstelle markieren, d.h. lte2 oder net3

  37. Auf Einstellungen speichern klicken.

  38. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [15]

    • Beschreibung: Traffic from the local net through the GRE tunnel

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: net1, net2

    • Ausgehendes Interface:: gre1

  39. Auf Einstellungen speichern klicken.

  40. Im Menü Netzfilter → IP-Filter eine neue Filterregel hinzufügen () und diese bearbeiten (): [16]

    • Beschreibung: Traffic through the GRE tunnel to the local net

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: gre1

    • Ausgehendes Interface: net1, net2

  41. Auf Einstellungen speichern klicken.

  42. Das Profil aktivieren durch Klick auf das blinkende Zahnrad in der Titelleiste ().

  43. Im Menü StatusSystem-Status ein Aktualisierungsintervall von wenigen Sekunden eingeben und auf OK klicken, um zu sehen, wie die WAN-Kette, welche die Tunnel enthält, aufgebaut wird.

  44. Im Menü HilfeDebugging das Werkzeug PING auswählen und verfügbare IP-Adressen aus den entfernten Subnetzen unter Parameter eingeben, um die Konnektivität zu verifizieren.

Wir haben folgende ASCII-Konfigurationsdatei vorbereitet, um die Filterregeln in einem Zug hinzuzufügen, anstatt sie einzeln einzugeben, wie oben ausführlich beschrieben. Kopieren Sie den Inhalt und fügen Sie ihn in ihren Texteditor ein oder laden Sie die Konfiguration über den Link unten herunter. Denken Sie daran, sie bei Bedarf an Ihre Anwendung anzupassen.

Die ASCII-Konfigurationsdatei fügt alle Filter wie oben mit beiden möglichen WAN-Schnittstellen, die vom Schnellstart-Assistent erstellt werden können, hinzu, d.h. lte2 und net3.

Siehe Hinzufügen eines Listen-Parameters zu einem Profil mittels Lua, um mehr über das Anwenden einer ASCII-Konfigurationsdatei auf ein Profil zu erfahren.

ASCII-Konfigurationsdatei
netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec protocol ESP
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=esp
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec UDP Port 4500 (NAT traversal)
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=4500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec protocol ESP
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=esp
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec UDP Port 4500 (NAT traversal)
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=4500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic through the IPsec tunnel sent by the router
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_output_if=ipsec1
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic through the IPsec tunnel sent to the router
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_input_if=ipsec1
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=GRE (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=gre
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=GRE (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=gre
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic from the local net through the GRE tunnel
netfilter.ip_filter.rule[last].rule_direction=forward
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_input_if=net1,net2
netfilter.ip_filter.rule[last].rule_output_if=gre1
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic through the GRE tunnel to the local net
netfilter.ip_filter.rule[last].rule_direction=forward
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_input_if=gre1
netfilter.ip_filter.rule[last].rule_output_if=net1,net2
netfilter.ip_filter.rule[last].rule_ipversion=all

Herunterladen der ASCII-Konfigurationsdatei (Rechtsklick und Speichern unter)

Fehlersuche

  • Sie können die Netzfilter im Menü NetzfilterIP-Filter vorübergehend deaktivieren, um herauszufinden, ob falsche Filtereinstellungen der Grund für Verbindungsprobleme sind.

Zurück zu den Configuration Guides für die icom OS Smart Devices

Zurück zur Übersicht

1. Anmeldung je nach Konfiguration; Voreinstellung bei älteren Firmware-Versionen: _Benutzername: insys, Kennwort: icom
2. Dies fügt ein Interface für einen IPsec-Tunnel vom lokalen LAN zum entfernten Router hinzu; alle Adressen sind beispielhaft für das vorliegende Beispiel und müssen an Ihre Anwendung angepasst werden.
3. Auf Hilfetexte anzeigen in der Titelleiste klicken, um die Inline-Hilfe einzublenden und weitere Informationen zu den Authentifizierungs- und Verschlüsselungseinstellungen zu sehen.
4. Dies fügt ein Interface für einen GRE-Tunnel vom lokalen LAN zum entfernten Router hinzu; alle Adressen sind beispielhaft für das vorliegende Beispiel und müssen an Ihre Anwendung angepasst werden.
5. Diese kann beliebig gewählt werden, muss aber im selben virtuellen Netzwerk wie die der Gegenstelle liegen.
6. Dies fügt eine statische Route durch den IPsec-Tunnel zum Subnetz des entfernten Routers hinzu.
7. Dies fügt eine statische Route durch den GRE-Tunnel zum Subnetz der Gegenstelle hinter dem entfernten Router hinzu.
8. Die nächsten beiden Einstellungen fügen die IPsec- und GRE-Interfaces (in dieser Reihenfolge) zur WAN-Kette hinzu. Eine WAN-Kette ist die sequentielle Anordnung von Interfaces, die den Aufbau einer WAN-Verbindung definiert.
9. Diese Filterregel ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch.
10. Diese Filterregel ermöglicht den Aufbau des IPsec-Tunnels.
11. Diese Filterregel ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch bei der Verwendung von NAT-Traversal.
12. Diese Filterregel ermöglicht das Versenden sämtlicher Daten durch den IPsec-Tunnel.
13. Diese Filterregel ermöglicht das Empfangen sämtlicher Daten durch den IPsec-Tunnel.
14. Diese Filterregel ermöglicht den Aufbau des GRE-Tunnels.
15. Diese Filterregel ermöglicht das Routen sämtlicher Daten von den lokalen Netzwerken durch den GRE-Tunnel.
16. Diese Filterregel ermöglicht das Routen sämtlicher Daten durch den GRE-Tunnel zu den lokalen Netzwerken.