FAQ Wie kann ein IPsec-VPN-Tunnel unter Verwendung des mdex Routers aufgebaut werden?

Anforderung

Ich nutze die feste öffentliche IP-Adresse (mdex public.IP) und möchte darüber einen IPsec-VPN-Tunnel aufbauen.
  • Welche grundsätzlichen Einstellungen sind in meinem mdex Router erforderlich?
  • Wie lauten die Netzwerkeinstellungen für meinen VPN-Router (z.B. Firewall)?

Lösung

Zum Aufbau einer IPsec-VPN Verbindung ist neben dem mdex Router ein weiterer (eigener) IPsec-VPN-Router erforderlich.
Nachfolgend finden Sie für den jeweiligen mdex Router die erforderlichen Einstellungen, damit zur mdex public.IP eine IPsec-Verbindung zum eigenen IPsec-VPN-Router hergestellt werden kann:

Aufbau eines IPsec-VPN-Tunnel unter Verwendung des LTE Pakets (MX200)

Hier finden Sie den typischen Aufbau, um bei Einsatz des mdex LTE Paket (mdex Router MX200) über die feste öffentliche IP-Adresse (mdex public.IP) einen IPsec-VPN-Tunnel (z.B. IPsec VPN) zu einem im LAN befindlichen VPN-Router (z.B. Firewall) aufzubauen:


MX200_Übersichtsskizze.png

  • Das LTE Modem stellt die Internetverbindung bereit
  • Der MX200 ist im LAN mit dem LTE Router verbunden und stellt die feste öffentliche IP-Adresse (public.IP) bereit
  • Der VPN-Router (z.B. Firewall), zu dem der IPsec-VPN-Tunnel aufgebaut wird, ist im LAN mit dem MX200 verbunden

ALERT! Der mdex Router MX200 ersetzt in der Standard-Konfiguration die Absender-IP-Adresse durch seine lokale LAN-IP-Adresse (LAN Masquerade). In dieser Konstellation kann in aller Regel kein IPSec-VPN-Tunnel aufgebaut werden. Um einen IPSec-VPN-Tunnel erfolgreich aufbauen zu können, muss u.a. das "LAN Masquerade" (NAT on brwan) des MX200 laut der nachfolgenden Beschreibung entfernt werden.

1. Erforderliche Einstellungen im MX200 Router

Im MX200 Router sind folgende Einstellungen erforderlich, um über die feste öffentliche IP-Adresse einen IPsec-VPN-Tunnel zu einem im Netzwerk befindlichen VPN-Router aufzubauen.
ALERT! Der MX200 muss in das LAN (lokale Netzwerk) eingebunden worden sein, damit dieser über das Internet (LTE-Modem) via OpenVPN (UDP Port 9300) eine Verbindung zu mdex herstellen kann. Weitere Informationen zur Anpassung des MX200 finden Sie in der FAQ Die IP-Adressen der Standardkonfiguration passen nicht. Wie kann ich diese ändern? .

1.1 Stellen Sie mit einem Webbrowser eine Verbindung zum MX200 Router her

1.2 Im MX200 das "Host-Forwarding" zum VPN Server (z.B. Firewall) einrichten

Als Voreinstellung des MX200 wird der gesamte Datenverkehr als "Host-Forwarding" an die IP-Adresse 192.168.1.100 weitergeleitet. Hier müssen Sie die IP-Adresse des VPN-Routers (z.B. Firewall) eingeben.
  • Klicken Sie im Hauptmenü des MX200 auf Button_Router.png
    (Sollten Sie sich nicht im Hauptmenü des MX200 befinden, klicken Sie oben links auf MRT150N_Home.png.)

  • Klicken Sie auf Forwarding, dann auf Edit (oben rechts).
    MRT150N_Forwarding_1.png

  • Klicken Sie auf Edit.
    MRT150N_Forwarding_2.png

  • Geben Sie die IP-Adresse des VPN-Routers (z.B. Firewall) ein, dann zur Bestätigung der Eingabe auf Apply klicken.
    MRT150N_Forwarding_3.png

  • Zum speichern der Einstellung klicken Sie auf Save.
    MRT150N_Forwarding_4.png

1.3 Im MX200 muss das "LAN-IP-Masquerade" ausgeschaltet werden (NAT on brwan entfernen)

  • Klicken Sie im Hauptmenü auf Button_Router.png.
    (Sollten Sie sich nicht im Hauptmenü des MX200 befinden, klicken Sie oben links auf MRT150N_Home.png.)

  • Klicken Sie auf NAT und dann auf Remove (oben rechts).
    MX200_Remove.png

  • Klicken Sie neben dem Eintrag "NAT on brwan" auf den Button Remove.
    MX200_Remove2.png

  • Zum speichern der Einstellung klicken Sie auf Save. MX200_Save-after-Remove.png

  • Machen Sie ein Reboot des MX200.
    Klicken Sie dazu oben links auf MRT150N_Home.png, dann auf Basic Settings MOVED TO... Reboot MOVED TO... Reboot now.
    MOVED TO... Der MX200 Router macht einen Neustart. Danach ist die neue Einstellung aktiv.

2. Erforderliche Einstellungen im VPN-Router (z.B. Firewall)

2.1 IP-Adresse des MX200 als Default-Gateway in Ihrem VPN Server (z.B. Firewall) eintragen

ALERT! Im VPN-Router (z.B. Firewall) muss die IP-Adresse des mdex Routers MX200 als Default-Gateway angebenen werden. Vorher war hier die IP-Adresse des LTE-Modems (z.B. Vodafone LTE Router B1000) angegeben.

2.2 Aktivieren Sie in Ihrer VPN-Konfiguration "NAT-Traversal"

Aktivieren Sie in Ihrer VPN-Konfiguration im VPN Server (z.B. Firewall) und im VPN Client den Parameter NAT-Traversal. (Dieser Parameter wird tlw. auch als NAT-T bezeichnet).


MOVED TO... Wenn alle Schritte ausgeführt wurden, kann der IPsec-VPN-Tunnel nun über die feste öffentliche IP-Adresse (mdex public.IP) aufgebaut werden.

Aufbau eines IPsec-VPN-Tunnel unter Verwendung des LTE Pakets (MRT150N)

Hier finden Sie den typischen Aufbau, um bei Einsatz des mdex LTE Paket (mdex Router MRT150N) über die feste öffentliche IP-Adresse (mdex public.IP) einen IPsec-VPN-Tunnel zu einem im LAN befindlichen VPN-Router (z.B. Firewall) aufzubauen:

LTE-Paket_Übersicht.png
  • Das LTE Modem stellt die Internetverbindung bereit
  • Der MRT150N ist im LAN mit dem LTE Router verbunden und stellt die feste öffentliche IP-Adresse (public.IP) bereit
  • Der VPN-Router (z.B. Firewall), zu dem der IPsec-VPN-Tunnel aufgebaut wird, ist im LAN mit dem MRT150N verbunden

ALERT! Der mdex Router MRT150N ersetzt in der Standard-Konfiguration die Absender-IP-Adresse durch seine lokale LAN-IP-Adresse (LAN Masquerade). In dieser Konstellation kann in aller Regel kein IPsec-VPN-Tunnel aufgebaut werden. Um einen IPsec-VPN-Tunnel erfolgreich aufbauen zu können, muss das "LAN Masquerade" (NAT on VLAN 0) in der Konfiguration des mdex Routers MRT150N entfernt werden.

1. Erforderliche Einstellungen im MRT150N Router

Im MRT150N Router sind folgende Einstellungen erforderlich, um über die feste öffentliche IP-Adresse einen IPsec-VPN-Tunnel zu einem im Netzwerk befindlichen VPN-Router aufzubauen.
ALERT! Der MRT150N muss in das lokale Netzwerk eingebunden worden sein, damit dieser über das Internet (LTE-Modem) via OpenVPN eine Verbindung zu mdex herstellen kann. Weitere Informationen zur Anpassung des MRT150N finden Sie in der FAQ Die IP-Adressen der Standardkonfiguration passen nicht. Wie kann ich diese ändern? .

1.1 Stellen Sie mit einem Webbrowser eine Verbindung zum MRT150N Router her

  • voreingestellte IP-Adresse des MRT150N: http://192.168.1.10
  • Benutzername: admin / Paswort: admin
    TIP Eine genaue Beschreibung zum Herstellen einer Verbindung zum MRT150N Router finden Sie im Kapitel 4 Einstellungen des MRT150N anpassen der pdficon_small.png Einrichtungsanleitung LTE-Paket. (Download unter WIKI Anleitungen zum mdexLTE Paket.)

1.2 Im MRT150N das "Host-Forwarding" zum VPN Server (z.B. Firewall) einrichten

Als Voreinstellung des MRT150N wird der gesamte Datenverkehr als "Host-Forwarding" an die IP-Adresse 192.168.1.100 weitergeleitet. Hier müssen Sie die IP-Adresse des VPN-Router (z.B. Firewall) eingeben.
  • Klicken Sie im Hauptmenü des MRT150N auf Button_Router.png
    (Sollten Sie sich nicht im Hauptmenü des MRT150N befinden, klicken Sie oben links auf MRT150N_Home.png.)

  • Klicken Sie auf Forwarding, dann auf Edit (oben rechts).
    MRT150N_Forwarding_1.png

  • Klicken Sie auf Edit.
    MRT150N_Forwarding_2.png

  • Geben Sie die IP-Adresse des VPN-Routers (z.B. Firewall) ein, dann zur Bestätigung der Eingabe auf Apply klicken.
    MRT150N_Forwarding_3.png

  • Zum speichern der Einstellung klicken Sie auf Save.
    MRT150N_Forwarding_4.png

1.3 Im MRT150N muss das "LAN-IP-Masquerade" ausgeschaltet werden (NAT on vlan0 entfernen)

  • Klicken Sie im Hauptmenü auf Button_Router.png.
    (Sollten Sie sich nicht im Hauptmenü des MRT150N befinden, klicken Sie oben links auf MRT150N_Home.png.)

  • Klicken Sie auf NAT und dann auf Remove (oben rechts).
    MRT150N_NAT-Remove_1.png

  • Klicken Sie neben dem Eintrag "NAT on vlan0" auf den Button Remove.
    MRT150N_NAT-Remove_2.png

  • Zum speichern der Einstellung klicken Sie auf Save. MRT150N_Save.png

  • Machen Sie ein Reboot des MRT150N.
    Klicken Sie dazu oben links auf MRT150N_Home.png, dann auf Basic Settings MOVED TO... Reboot MOVED TO... Reboot now.
    MOVED TO... Der MRT!50N Router macht einen Neustart, danach ist die neue Einstellung aktiv.

2. Erforderliche Einstellungen im VPN-Router (z.B. Firewall)

2.1 IP-Adresse des MRT150N als Default-Gateway in Ihrem VPN Server (z.B. Firewall) eintragen

ALERT! Im VPN-Router (z.B. Firewall) muss die IP-Adresse des mdex Routers MRT150N als Default-Gateway angebenen werden. Vorher war hier die IP-Adresse des LTE-Modems (z.B. Vodafone LTE Router B1000) angegeben.

2.2 Aktivieren Sie in Ihrer VPN-Konfiguration "NAT-Traversal"

Aktivieren Sie in Ihrer VPN-Konfiguration im VPN Server (z.B. Firewall) und im VPN Client den Parameter NAT-Traversal. (Dieser Parameter wird tlw. auch als NAT-T bezeichnet).


MOVED TO... Wenn alle Schritte ausgeführt wurden, kann der IPsec-VPN-Tunnel nun über die feste öffentliche IP-Adresse (mdex public.IP) aufgebaut werden.

Aufbau eines IPsec-VPN-Tunnel unter Verwendung des mdex Routers MX510

Hier finden Sie den typischen Aufbau, um bei Einsatz des mdex MX510 Mobilfunkrouters über die feste öffentliche IP-Adresse (mdex public.IP) einen IP-sec-VPN-Tunnel zu einem angeschlossenen VPN-Router (z.B. Firewall) aufzubauen:

MX510_Übersicht.png
  • Der mdex Router MX510 baut eine Verbindung zu mdex auf und stellt die feste öffentliceh IP-Adresse (public.IP) bereit
  • Der VPN-Router (z.B. Firewall), über den der IPsec-VPN-Tunnel aufbaut werden soll, ist per LAN mit dem MX510 Router verbunden

ALERT! Der mdex Router MX510 ersetzt in der Standard-Konfiguration die Absender-IP-Adresse durch seine lokale LAN-IP-Adresse (Masquerade LAN interface). In dieser Konstellation kann in aller Regel kein IPsec-VPN-Tunnel aufgebaut werden. Um einen IPsec-VPN-Tunnel erfolgreich aufbauen zu können, muss der Parameter "Masquerade LAN interface" in der Konfiguration des mdex Routers MX510 deaktiviert werden.
TIP Im MX510 des mobile.DSL Paket ist das "Masquerade LAN interface" bei Auslieferung bereits deaktiviert.

1. Erforderliche Einstellungen im mdex Router MX510

Im MX510 Router sind folgende Einstellungen erforderlich, um über die feste öffentliche IP-Adresse einen IPsec-VPN-Tunnel zu einem im Netzwerk befindlichen VPN-Router aufzubauen.

1.1 Stellen Sie mit einem Webbrowser eine Verbindung zum MX510 her

  • Standard-IP-Adresse des MX510: http://192.168.0.1:8080
  • Benutzername: admin / Paswort: admin01
    TIP Eine genaue Beschreibung zum Herstellen einer Verbindung zum MX510 Router finden Sie im Kapitel 5 "Erste Inbetriebnahme" der pdficon_small.png Einrichtungsanleitung Router MX510. (Download unter WIKI Anleitungen zum mdex Router MX510.)

1.2 Im MX510 das "Host-Forwarding" (DMZ configuration) zum VPN Server (z.B. Firewall) einrichten

Als Voreinstellung im MX510 wird der gesamte Datenverkehr als "Host-Forwarding" (DMZ configuration) an die IP-Adresse 192.168.0.100 weitergeleitet. Hier müssen Sie die IP-Adresse des VPN-Router (z.B. Firewall) eingeben.
  • Klicken Sie auf Network -> Port Forwarding
  • Unter DMZ Configuration nehmen Sie die erforderlichen Einstellungen vor MX510_Forwarding.png
    • Enabled muss aktiviert sein
    • Source zone einstellen:
      • WAN MOVED TO... Wenn die Anbindung zu mdex mit den APN-Zugangsdaten einer mdex-SIM-Karte, Vodafone-SIM-Karte oder Telekom-SIM-Karte erfolgt.
      • VPN MOVED TO... Wenn die Anbindung zu mdex via OpenVPN mit einer beliebigen SIM-Karte oder über einen lokalen Internet-Router (z.B. DSL Router) erfolgt.
    • DMZ host IP adress: Hier geben Sie die IP-Adresse des VPN-Router (z.B. Firewall) ein, über den ein IPsec-VPN-Tunnel aufgebaut werden soll.

  • Speichern Sie die Einstellungen durch Klick auf SAVE.

1.2 Deaktivieren Sie im MX510 das "Masquerade LAN interface"

TIP Im MX510 des mobile.DSL Paket ist das "Masquerade LAN interface" bereits deaktiviert.

  • Klicken Sie auf Network --> Firewall

  • Deaktivieren Sie das Masquerade LAN interface und klicken Sie auf Save. MX510_LAN-Masquerade.png

2. Erforderliche Einstellungen im VPN-Router (z.B. Firewall)

2.1 IP-Adresse des MX510 als Default-Gateway in Ihrem VPN Server (z.B. Firewall) eintragen

TIP Sollte der VPN-Router (z.B. Firewall) die IP-Adresse automatisch per DHCP vom MX510 beziehen, kann dieser Schritt übersprungen werden.

2.2 Aktivieren Sie in Ihrer VPN-Konfiguration "NAT-Traversal"

Aktivieren Sie in Ihrer VPN-Konfiguration im VPN Server (z.B. Firewall) und im VPN Client den Parameter NAT-Traversal. (Dieser Parameter wird tlw. auch als NAT-T bezeichnet).


MOVED TO... Wenn alle Schritte ausgeführt wurden, kann der IPsec-VPN-Tunnel nun über die feste öffentliche IP-Adresse (mdex public.IP) aufgebaut werden.

Aufbau eines IPsec-VPN-Tunnel unter Verwendung des mdex Routers MX760

Erforderliche Einstellungen, um bei Einsatz des mdex Router MX760 über die feste öffentliche IP-Adresse (mdex public.IP) einen IPsec-VPN-Tunnel zu einem angeschlossenen VPN-Router aufzubauen:

  1. Im MX760 muss das Host-Forwarding zum Zielgerät (z.B. IPSec VPN-Router) eingerichtet werden.
    (Hinweise zur Einrichtung des Host-Forwarding finden Sie in der pdficon_small.png MX760 Einrichtungsanleitung im Kapitel "Port Forwarding".)
  2. Sollte ein 'Masquerade' im MX760 eingestellt sein, muss dieses entfernt werden.
    info Das Masquerade ist in der Vorkonfiguration des MX760 als 'mdex LTE pro Paket' nicht enthalten!
    • Klicken Sie auf Configuration MOVED TO... Startup-Script und entfernen Sie die folgenden Masquerade-Einträge (wenn vorhanden):
      MX760_Masquerade-entfernen.png
      iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE MOVED TO... entfernen!
      iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE MOVED TO... entfernen!
      iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE MOVED TO... entfernen!
    • Zum Übernehmen der Änderungen auf Apply klicken und anschließend ein Reboot des MX760 ausführen.
  3. Die IP-Adresse des MX760 muss als Default-Gateway in Ihrem VPN Server eingetragen werden.
  4. Aktivieren Sie in Ihrer VPN-Konfiguration "NAT-Traversal" (wird auch als NAT-T bezeichnet).

Aufbau eines IPsec-VPN-Tunnel unter Verwendung des mdex Routers MX530/880

Hier finden Sie die erforderliche Einstellungen, um über die feste öffentliche IP-Adresse (mdex public.IP) eines MX530/880 eine IPsec-VPN-Verbindung zu einem daran angeschlossenen IPsec-VPN-Router herzustellen:

  1. Das Host-Forwarding zur LAN-IP-Adresse des VPN-Routers (192.168.0.100) sollte eingerichtet werden:
    • Klicken Sie auf Network MOVED TO... Port Forwarding.
    • Unter DMZ configuration muss dazu die Checkbox enable aktiviert und als DMZ host IP address die IP-Adresse Ihres VPN-Routers eingetragen sein (192.168.0.100).
      MX880_DMZ-Configuration.png
    • Stellen Sie die richtige Source zone ein:
      Source Zone WAN MOVED TO... Wenn der MX530/880 die Verbindung zu mdex per SIM-Karte herstellt, z.B. beim mdex LTE pro Paket oder mdexSIM.
      Source Zone VPN MOVED TO... Wenn der MX530/880 die Verbindung zu mdex per OpenVPN herstellt (VPN MOVED TO... OpenVPN) .

  2. Im MX530/880 muss das Masquerade interface der LAN-Zone deaktiviert werden.
    • Klicken Sie auf Network MOVED TO... Firewall.
    • Bei den Firewall Zone Policies muss das Masquerade interface für die LAN zone deaktiviert werden.
      MX880-Masquerade_deactivieren.png
    • Zum Speichern auf Save klicken und anschließend einen Reboot ausführen.

  3. Erforderliche Netzwerkeinstellungen im VPN-Router:
    • IP-Adresse: Forwarding IP-Adresse (192.168.0.100)
    • Standardgateway: LAN IP-Adresse des MX530/880 (192.168.0.1)
    • DNS-Server: LAN IP-Adresse des MX530/880 (192.168.0.1)

  4. Aktivieren Sie in der IPsec-VPN-Konfiguration in allen VPN-Routern die Option NAT-Traversal (wird tlw. auch als NAT-T bezeichnet).
    Alle weiteren erforderlichen IPsec-VPN-Einstellungen entnehmen Sie bitte der Dokumentation Ihres VPN-Routers.