Dieser Configuration Guide zeigt, wie ein GRE-Tunnel innerhalb einer IPsec-Verbindung konfiguriert wird.

Die Beschreibung in diesem Configuration Guide folgt einer Konfiguration in der neuen Bedienoberfläche (Web-Interface), die ab icom OS 5.5 zur Verfügung steht. Aktualisieren Sie Ihren Router auf die neueste Version von icom OS für den erforderlichen Funktionsumfang der neuen Bedienoberfläche. Die Beschreibung dieser Konfiguration im klassischen Web-Interface finden Sie in diesem Configuration Guide.

Situation

Ein entfernter Router hat mehrere lokale Subnetze, die vom INSYS-Router aus adressiert werden müssen. Eine IPsec-Verbindung ermöglicht nur ein Subnetz zu adressieren. Eine GRE-Verbindung kann zu mehr als einem Subnetz aufgebaut werden, aber sie kann nicht verschlüsselt werden. Um verschlüsselte Verbindungen zu mehr als einem Subnetz aufzubauen, ist es möglich, einen GRE-Tunnel durch eine verschlüsselte IPsec-Verbindung zu routen.

Lösung

Es wird vorausgesetzt, dass Sie Zugriff auf das Web-Interface des Routers haben und der Router für eine WAN-Verbindung mit Hilfe des Schnellstart-Assistenten aus den Grundeinstellungen konfiguriert ist. Es wird auch vorausgesetzt, dass der entfernte Router GRE via IPsec unterstützt. Folgende Abbildung zeigt die Netzwerktopologie, die für dieses Beispiel verwendet wird:

cg m3 gre via ipsec

Warning Aktualisieren Sie Ihren Router zuerst auf iom OS 7.3 oder höher! Ab dieser Version wurden sämtliche Verschlüsselungsalgorithmen entfernt, die mittlerweile als nicht mehr ausreichend sicher betrachtet werden, was eine versehentliche Verwendung solcher Algorithmen ausschließt.

  1. Öffnen Sie die Bedienoberfläche des Routers in einem Browser: insys.icom [1]

  2. Klicken Sie auf der Seite lan NetzwerkInterfaces unter IPsec auf plus, um einen neuen IPsec-Tunnel hinzuzufügen und konfigurieren Sie diesen entsprechend: [2]

    • Beschreibung: IPsec tunnel to remote-domain.com

    • VPN-Server-Adresse: remote-domain.com

    • Lokale Tunneladresse: 192.168.2.0 / 24

    • Subnetz Lokal: 192.168.2.0 / 24

    • Subnetz Remote: 192.168.200.0 / 24

    • Konfigurieren Sie Authentifizierung und Verschlüsselung entsprechend den Einstellungen des entfernten Routers.
      cg de m3 gre via ipsec v2 01

  3. Klicken sie auf   SPEICHERN  .

  4. Klicken Sie auf der Seite lan NetzwerkInterfaces unter GRE auf plus, um einen neuen GRE-Tunnel hinzuzufügen und konfigurieren Sie diesen entsprechend: [3]

    • Beschreibung: GRE tunnel to remote router

    • IP-Adresse oder Domainname der Gegenstelle: 192.168.200.1

    • Eigene IP-Adresse: statisch 192.168.2.1

    • Lokale Tunneladresse: 10.10.10.10 / 30 [4]

    • GRE-Key: Geben Sie nur dann einen GRE-Key ein, wenn der Router dies erfordert. [5]
      cg de m3 gre via ipsec v2 02

  5. Klicken sie auf   SPEICHERN  .

  6. Klicken Sie auf der Seite lan NetzwerkRouting unter Statische Route auf plus, um eine neue statische Route hinzuzufügen und konfigurieren Sie diese entsprechend: [6]

    • Beschreibung: IPsec route to 192.168.200.0

    • Anlegen nach Start von Interface: ipsec1

    • Art der Route: Netzwerk 192.168.200.0 / 24

    • Gateway: interface ipsec1
      cg de m3 gre via ipsec v2 03

  7. Klicken sie auf   SPEICHERN  .

  8. Klicken Sie auf der Seite lan NetzwerkRouting unter Statische Route auf plus, um eine neue statische Route hinzuzufügen und konfigurieren Sie diese entsprechend: [7]

    • Beschreibung: GRE route to 192.168.201.0

    • Anlegen nach Start von Interface: gre1

    • Art der Route: Netzwerk 192.168.201.0 / 24

    • Gateway: interface gre1

  9. Auf Einstellungen speichern klicken.
    cg de m3 gre via ipsec v2 04

  10. Klicken sie auf   SPEICHERN  .

  11. Fügen sie die nächsten beiden Routen zu den entfernten Subnetzen 192.168.202.0 und 192.168.203.0 entsprechend hinzu.
    cg de m3 gre via ipsec v2 05

  12. Klicken Sie auf der Seite lan NetzwerkWAN / Internet in der vom Schnellstart-Assistenten hinzugefügten WAN-Kette auf plus, um ein weiteres Interface zur WAN-Kette hinzuzufügen. [8]

  13. Wählen Sie für das Interface an Startposition 2 das Interface ipsec1 aus.

  14. Klicken Sie erneut auf plus, um ein weiteres Interface zur WAN-Kette hinzuzufügen.

  15. Wählen Sie für das Interface an Startposition 3 das Interface gre1 aus.
    cg de m3 gre via ipsec v2 06

  16. Klicken sie auf   SPEICHERN  .

  17. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [9]

    • Beschreibung: IPsec (tunnel establishment)

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Ausgehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

    • Ziel-Port: 500
      cg de m3 gre via ipsec v2 07

  18. Klicken sie auf   SPEICHERN  .

  19. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [10]

    • Beschreibung: IPsec protocol ESP

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: ESP

    • Ausgehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

  20. Klicken sie auf   SPEICHERN  .

  21. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [11]

    • Beschreibung: IPsec UDP Port 4500 (NAT traversal)

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Ausgehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

    • Ziel-Port: 4500

  22. Klicken sie auf   SPEICHERN  .

  23. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [9]

    • Beschreibung: IPsec (tunnel establishment)

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Eingehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

    • Ziel-Port: 500

  24. Klicken sie auf   SPEICHERN  .

  25. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [10]

    • Beschreibung: IPsec protocol ESP

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: ESP

    • Eingehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

  26. Klicken sie auf   SPEICHERN  .

  27. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [11]

    • Beschreibung: IPsec UDP Port 4500 (NAT traversal)

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: UDP

    • Eingehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

    • Ziel-Port: 4500

  28. Klicken sie auf   SPEICHERN  .

  29. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [12]

    • Beschreibung: Traffic through the IPsec tunnel sent by the router

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: Alle

    • Ausgehendes Interface: checkbox marked ipsec1

  30. Klicken sie auf   SPEICHERN  .

  31. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [13]

    • Beschreibung: Traffic through the IPsec tunnel sent to the router

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: checkbox marked ipsec1

  32. Klicken sie auf   SPEICHERN  .

  33. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [14]

    • Beschreibung: GRE (tunnel establishment)

    • Paket-Richtung: OUTPUT

    • IP-Version: Alle

    • Protokoll: GRE

    • Ausgehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

  34. Klicken sie auf   SPEICHERN  .

  35. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [14]

    • Beschreibung: GRE (tunnel establishment)

    • Paket-Richtung: INPUT

    • IP-Version: Alle

    • Protokoll: GRE

    • Eingehendes Interface: Markieren Sie die verwendete WAN-Schnittstelle, d.h. lte2 oder net3

  36. Klicken sie auf   SPEICHERN  .

  37. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [15]

    • Beschreibung: Traffic from the local net through the GRE tunnel

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: checkbox marked net1, checkbox marked net2

    • Ausgehendes Interface:: checkbox marked gre1

  38. Klicken sie auf   SPEICHERN  .

  39. Klicken Sie auf der Seite lan NetzwerkFirewall / NAT unter IP-Filter auf plus, um eine IP-Filter-Regel hinzuzufügen und konfigurieren Sie diese entsprechend: [16]

    • Beschreibung: Traffic through the GRE tunnel to the local net

    • Paket-Richtung: FORWARD

    • IP-Version: Alle

    • Protokoll: Alle

    • Eingehendes Interface: checkbox marked gre1

    • Ausgehendes Interface: checkbox marked net1, checkbox marked net2

  40. Klicken sie auf   SPEICHERN  .

  41. Aktivieren Sie das Profil mit einem Klick auf   PROFIL AKTIVIEREN  cog white  .

  42. Beobachten Sie auf der Seite view dashboard outline StatusDashboard im Abschnitt WAN-Kette den Aufbau der WAN-Kette, welche die Tunnel enthält.

  43. Klicken sie auf der Seite cog AdministrationDebugging auf   DEBUG-WERKZEUGE ÖFFNEN  ladybug white  , wählen Sie das Werkzeug Ping aus, geben Sie verfügbare IP-Adressen aus den entfernten Subnetzen unter Parameter ein und klicken Sie auf   SENDEN  , um die Konnektivität zu verifizieren.

Wir haben folgende ASCII-Konfigurationsdatei vorbereitet, um die Filterregeln in einem Zug hinzuzufügen, anstatt sie einzeln einzugeben, wie oben ausführlich beschrieben. Kopieren Sie den Inhalt und fügen Sie ihn in ihren Texteditor ein oder laden Sie die Konfiguration über den Link unten herunter. Denken Sie daran, sie bei Bedarf an Ihre Anwendung anzupassen.

Die ASCII-Konfigurationsdatei fügt alle Filter wie oben mit beiden möglichen WAN-Schnittstellen, die vom Schnellstart-Assistent erstellt werden können, hinzu, d.h. lte2 und net3.

Siehe Hinzufügen eines Listen-Parameters zu einem Profil mittels Lua, um mehr über das Anwenden einer ASCII-Konfigurationsdatei auf ein Profil zu erfahren.

ASCII-Konfigurationsdatei
netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec protocol ESP
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=esp
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec UDP Port 4500 (NAT traversal)
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=4500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec protocol ESP
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=esp
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=IPsec UDP Port 4500 (NAT traversal)
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=udp
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_dport=4500
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic through the IPsec tunnel sent by the router
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_output_if=ipsec1
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic through the IPsec tunnel sent to the router
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_input_if=ipsec1
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=GRE (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=output
netfilter.ip_filter.rule[last].rule_protocol=gre
netfilter.ip_filter.rule[last].rule_output_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=GRE (tunnel establishment)
netfilter.ip_filter.rule[last].rule_direction=input
netfilter.ip_filter.rule[last].rule_protocol=gre
netfilter.ip_filter.rule[last].rule_input_if=lte2,net3
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic from the local net through the GRE tunnel
netfilter.ip_filter.rule[last].rule_direction=forward
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_input_if=net1,net2
netfilter.ip_filter.rule[last].rule_output_if=gre1
netfilter.ip_filter.rule[last].rule_ipversion=all

netfilter.ip_filter.rule.add
netfilter.ip_filter.rule[last].rule_active=1
netfilter.ip_filter.rule[last].rule_description=Traffic through the GRE tunnel to the local net
netfilter.ip_filter.rule[last].rule_direction=forward
netfilter.ip_filter.rule[last].rule_protocol=all
netfilter.ip_filter.rule[last].rule_input_if=gre1
netfilter.ip_filter.rule[last].rule_output_if=net1,net2
netfilter.ip_filter.rule[last].rule_ipversion=all

Herunterladen der ASCII-Konfigurationsdatei (Rechtsklick und Speichern unter)

Fehlersuche

  • Deaktivieren Sie im Menü lan NetzwerkFirewall / NAT unter Einstellungen IP-Filter die IP-Filter für IPv4, um herauszufinden, ob falsche Filtereinstellungen der Grund für Verbindungsprobleme sind.

Zurück zu den Configuration Guides für die icom OS Smart Devices

Zurück zur Übersicht

1. Standard-IP-Adresse: 192.168.1.1; Anmeldung je nach Konfiguration; Voreinstellung bei älteren Firmware-Versionen: Benutzername: insys, Kennwort: icom
2. Dies fügt ein Interface für einen IPsec-Tunnel vom lokalen LAN zum entfernten Router hinzu; alle Adressen sind beispielhaft für das vorliegende Beispiel und müssen an Ihre Anwendung angepasst werden.
3. Dies fügt ein Interface für einen GRE-Tunnel vom lokalen LAN zum entfernten Router hinzu; alle Adressen sind beispielhaft für das vorliegende Beispiel und müssen an Ihre Anwendung angepasst werden.
4. Diese kann beliebig gewählt werden, muss aber im selben virtuellen Netzwerk wie die der Gegenstelle liegen.
5. In seltenen Fällen kann es vorkommen, dass die MTU (maximale erlaubte Anzahl an Bytes in einem zu versendenden Paket) angepasst werden muss. Die TTL (Time To Live) wird von jedem Router, den das Paket auf seinem Weg passiert, um eins dekrementiert. Ist der Wert auf 0 gesunken, wird das Paket nicht mehr weitergeleitet. Dadurch wird z.B. eine Endlosschleife vermieden. Standardmäßig wird für das GRE-Paket der TTL-Wert aus dem getunnelten Paket verwendet.
6. Dies fügt eine statische Route durch den IPsec-Tunnel zum Subnetz des entfernten Routers hinzu.
7. Dies fügt eine statische Route durch den GRE-Tunnel zum Subnetz der Gegenstelle hinter dem entfernten Router hinzu.
8. Mit den nächsten beiden Einstellungen fügen Sie die IPsec- und GRE-Interfaces (in dieser Reihenfolge) zur WAN-Kette hinzu. Eine WAN-Kette ist die sequentielle Anordnung von Interfaces, die den Aufbau einer WAN-Verbindung definiert.
9. Diese Filterregel ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch.
10. Diese Filterregel ermöglicht den Aufbau des IPsec-Tunnels.
11. Diese Filterregel ermöglicht den Aufbau von IPsec-Verbindungen und den Schlüsselaustausch bei der Verwendung von NAT-Traversal.
12. Diese Filterregel ermöglicht das Versenden sämtlicher Daten durch den IPsec-Tunnel.
13. Diese Filterregel ermöglicht das Empfangen sämtlicher Daten durch den IPsec-Tunnel.
14. Diese Filterregel ermöglicht den Aufbau des GRE-Tunnels.
15. Diese Filterregel ermöglicht das Routen sämtlicher Daten von den lokalen Netzwerken durch den GRE-Tunnel.
16. Diese Filterregel ermöglicht das Routen sämtlicher Daten durch den GRE-Tunnel zu den lokalen Netzwerken.