IPSec mit individuellem PSK

Lan2Lan, VPN, SSL-VPN, Remote DialIn, statische Routen, Radius Setup

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

IPSec mit individuellem PSK

Beitragvon fhbadmin » Mo 28.10.2013 - 00:22

Hallo,

ich bin seit heute stolzer Besitzer eines Vigor 2860n und habe bis jetzt auch die Inbetriebnahme erfolgreich gemeistert. Bei den VPN Einstellungen komme ich nun aber ins grübeln. Ich möchte mehreren VPN Usern die EInwahl über IPSec ermöglichen.

Unter "VPN and Remote Access -> IPSec General Setup" kann ich einen PSK eintragen, was ich auch gemacht habe. Allerdings möchte ich jedem User gerne einen eigenen PSK zuweisen. Also habe ich bei der Einrichtung der Remote Dial-in User einen vom obigen unterschiedlichen PSK vergeben, da ich bislang davon ausgegangen bin, dass ich in Kombination mit einer Peer ID und vergebenen Static IP aus meinem Router Subnetz so die Unterscheidung erzielen kann. Damit scheitert jedoch die Einwahl mit dem Shrew VPN Client. Nur wenn ich allen Usern den PSK aus dem General Setup verpasse funktioniert die Einwahl sofort.

Jetzt frage ich mich worin der Unterschied des PSK im "IPSec General Setup" und dem PSK im "Remote Dial-in User" besteht. Kann ich dem User in meinem Setup überhaupt unterschiedliche PSKs vergeben? Die User wählen sich allesamt über heimische DSL Zugänge ein, erhalten also jedes mal eine dynamische IP.

Ich hoffe ihr könnt etwas mit meinen Angaben anfangen. Ansonsten bitte ich um etwas Anleitung, damit ich noch benötigte Details nachreichen kann.

Vielen Dank.

Nächtliche Grüße
fhbadmin
Grünschnabel
 
Beiträge: 3
Registriert: Mo 28.10.2013 - 00:07

Re: IPSec mit individuellem PSK

Beitragvon brian » Mo 28.10.2013 - 10:04

Hallo fhbadmin,

grundsätzlich kann man die Verwendung des PSK im IPSec General Setup wie folgt unterscheiden:

*er wird verwendet, wenn deine Dial-In-User über keine festen externen IP´s verfügen
*er wird nicht verwendet, wenn deine Dial-In-User feste externe IP´s (Remote Client IP) haben und die PSK´s im jeweiligen VPN-Profil eingetragen werden

*hast du keine feste IP´s und es sollen trotzdem unterschiedliche PSK´s benutzt werden, dann hilft nur der ShrewSoft Client

Wenn du den ganzen Trouble umgehen möchtest, dann mach das doch mit SSL-VPN. Das kann dein 2860 nämlich auch.
Infos zur SSL-VPN-Einrichtng findest du z.B. hier: http://www.2-com.de/de/support/anleitun ... 0-und-5510

MfG
brian
brian
Power-User
 
Beiträge: 194
Registriert: Do 14.10.2010 - 10:15

Re: IPSec mit individuellem PSK

Beitragvon fhbadmin » Mo 28.10.2013 - 10:50

Hallo brian,

vielen Dank für die schnelle Antwort. SSL-VPN möchte ich gerne als letzte Option ziehen, da ich mit dem Vigor eine vorhandene VPN Infrastruktur im laufenden Betrieb migriere und die User bereits mit dem Shrewsoft VPN Client unterwegs sind. Ich habe mir gedacht, denen einfach nur eine neue Config zur Verfügung zu stellen und gut ist. So brauche ich mich nicht mit Software Installationen und Systemumgebungen herumschlagen.

Das mit den festen externen IPs habe ich soweit verstanden - so glaube ich zumindest ;) Vielen Dank für die hilfreiche Erklärung, in etwas so habe ich mir das auch gedacht gehabt. Du schreibst aber, dass ich individuelle PSKs bei dynamischen externen IPs über den Shrewsoft realisieren kann. Wie genau darf ich mir das vorstellen? Ich habe den Remot-Usern im Draytek feste (interne) IP Adressen zugewiesen, die ich im Shrewsoft Client unter "General -> Local Host" auch eingetragen habe. Das sind aber die internen IPs und sobald ich nun dem User im Draytek eine vom General Setup abweichende PSK eintrage kommt keine Verbindung zustande. Im Shrewsoft unter "Authentication -> Credentials" funktioniert die Verbindung nur wenn ich den General Setup PSK verwende. Dann besteht der einzige Config Unterscheid jedoch in der internen IP Adresse und genau das möchte ich ändern. Wenn ein Zugang dichtgemacht wird, soll es eben nicht einfach so möglich sein, durch einfache Änderung der IP Adresse im Shrewsoft weiterhin Zugang zu erhalten. Und für alle noch aktiven Zugänge jedesmal den PSK neu auszuwürfeln und einzutragen ist auch keine Option.

Grüße
fhbadmin
Grünschnabel
 
Beiträge: 3
Registriert: Mo 28.10.2013 - 00:07

Re: IPSec mit individuellem PSK

Beitragvon brian » Mo 28.10.2013 - 16:18

Schau dir mal bitte die angehängte Anleitung an. Bilder sagen ja immer mehr als 1000 Worte :wink:

MfG
brian
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
brian
Power-User
 
Beiträge: 194
Registriert: Do 14.10.2010 - 10:15

Re: IPSec mit individuellem PSK

Beitragvon fhbadmin » Mo 28.10.2013 - 20:33

PERFEKT!!!

Hey brian,

vielen Dank. Diese Anleitung wird im Netz unzählige Male referenziert, nur leider ist sie auf der deutschen Draytek Seite nicht mehr zu finden. Habe meine VPN Profile und die Shrewsoft Configs entsprechend angepasst und nun alles so wie ich es mir wünsche.
fhbadmin
Grünschnabel
 
Beiträge: 3
Registriert: Mo 28.10.2013 - 00:07

Re: IPSec mit individuellem PSK

Beitragvon brian » Di 29.10.2013 - 10:03

Freut mich, dass ich dir helfen konnte :D

MfG
brian
brian
Power-User
 
Beiträge: 194
Registriert: Do 14.10.2010 - 10:15


Zurück zu Fernzugriff und Netzwerkkopplung

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron