VPN Tracker für Mac OS X

VPN Tracker für Mac OS X
How-to:
Kompatibilität mit
DrayTek Vigor Routern
Rev. 1.0
Copyright © 2003 equinux USA Inc. Alle Rechte vorbehalten.
1. Einführung
1.
Einführung
Diese Anleitung beschreibt, wie eine Verbindung mit VPN Tracker und einem
DrayTek Vigor aufgebaut werden kann. Die komplette Produktpalette von DrayTek
sollte mit VPN Tracker kompatibel sein. equinux hat den DrayTek Vigor 2200
getestet. Beachten sie bitte, dass im Vigor 2000 kein VPN Server enthalten ist.
Der DrayTek Vigor ist als Router konfiguriert, der das Firmennetz mit dem Internet
verbindet.
Diese Anleitung ist kein Ersatz für das Handbuch, dass Ihnen mit Ihrem Vigor
mitgeliefert wurde. Bitte lesen Sie zuerst das DrayTek Handbuch bevor Sie mit
diesem How-To beginnen.
Alle Warenzeichen, Produktnamen, Firmennamen, Logos oder Screenshots, die in
diesem Dokument verwendet werden, sind Eigentum der jeweiligen Besitzer.
EQUINUX SHALL HAVE ABSOLUTELY NO LIABILITY FOR ANY DIRECT OR INDIRECT,
SPECIAL OR OTHER CONSEQUENTIAL DAMAGES IN CONNECTION WITH THE USE OF
THE HOW-TO OR ANY CHANGE TO THE ROUTER GENERALLY, INCLUDING WITHOUT
LIMITATION, ANY LOST PROFITS, BUSINESS, OR DATA, EVEN IF EQUINUX HAS BEEN
ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
2
2. Vorraussetzungen
2. Vorraussetzungen
Bitte stellen Sie sicher, dass Ihr DrayTek Router einen eingebauten VPN Server
enthält. Details dazu entnehmen Sie bitte dem DrayTek Handbuch.
Des weiteren sollten Sie eine aktuelle Firmware Version verwenden. Die neueste
Firmware kann unter folgender Adresse bezogen werden.
http://www.DrayTek.com.tw
equinux verwendete zum Testen Firmware Version 2.3.1.
Die benötigte VPN Tracker Lizenz hängt von Ihrem Einwahltyp ab. Im
Zusammenhang mit DrayTek Produkten kann nur ein Mac ohne eigenes LAN-Subnet
mit dem DrayTek Vigor verbunden werden. Das heißt, Sie benötigen in jedem Fall
die “Personal Edition”.
VPN Tracker ist kompatibel mit Mac OS X 10.2 (Jaguar) oder höher.
Bitte stellen sie sicher, dass sie VPN Tracker 1.6.1 oder höher verwenden.1
1
Alle VPN Tracker Versionen vor 1.6.1 beinhalten keinen Connection Type für DrayTek Produkte.
3
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
3. Verbindung eines VPN Tracker Host zu
einem DrayTek Vigor
In diesem Beispiel ist der Mac, auf dem VPN Tracker läuft, direkt per Einwahl oder
DSL mit dem Internet verbunden2. Der DrayTek Vigor hat eine statische WAN IP
Adresse (169.1.2.3) und NAT ist aktiviert. Die Computer im lokalen LAN hinter dem
DrayTek Router haben Internetzugang und verwenden die LAN IP (192.168.1.1) des
Vigor als ihr “Default Gateway”.
VPN Tracker Mac
(dynamic IP)
local host 10.1.2.3
DrayTek Vigor
WAN 169.1.2.3
LAN 192.168.1.1
192.168.1.10
192.168.1.20
192.168.1.30
LAN
192.168.1.0/24
Abbildung 1: VPN Tracker - DrayTek Vigor Verbindungsdiagramm (host to network)
2
Die Verbindung über einen Router mit Network Address Translation (NAT) kann nur funktionieren,
wenn dieser Router „IPsec passthrough“ unterstützt.
4
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
3.1
DrayTek Vigor Konfiguration
Der Verbindungstyp in VPN Tracker wurde auf den Standardwerten für DrayTek
Vigor Router erstellt. Wenn Sie Änderungen im Verbindungstyp vornehmen, müssen
Sie die entsprechenden Änderungen auch auf dem Router durchführen.
Schritt 1
Einwahl Aktivieren:
Um die Einwahl zu Aktivieren, wählen Sie [Spezielle Einstellungen -> VPN und
externe Einwahl -> Einwahl aktivieren] und aktivieren „IPSec“.
Abbildung 2: IPSec Einwahl aktivieren
5
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
Schritt 2
VPN IKE / IPSec Einstellungen:
Gehen Sie zu [Spezielle Einstellungen -> VPN und externe Einwahl -> VPN IKE /
IPSec Einstellungen]. Geben Sie Ihren IPSec-Schlüssel (auch Pre-shared Key oder
Passwort genannt) zweimal ein. Entfernen sie den Haken bei “Mittlere Sicherheit
(AH)” und wählen sie als IPSec ESP Methode „Beides“. Bei den „Einstellungen für
die Anwahl des anderen Routers“ müssen Sie nichts eingeben. Beachten Sie aber,
dass alle Einwahl-Benutzer das selbe Passwort verwenden.
Abbildung 3: VPN IKE / IPSec Einstellungen
6
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
Schritt 3
Erstellen der VPN / LAN-LAN Verbindung:
Um ein neues LAN-LAN Profil zu erstellen, gehen Sie bitte zu [Spezielle
Einstellungen -> VPN / LAN-LAN Verbindung]. Wenn Sie unter Index auf „1.“ klicken,
können sie ein neues Profil erstellen.
Abbildung 4: VPN / LAN-LAN Verbindung
Schritt 4
VPN / LAN-LAN Verbindung:
In den Grundeinstellungen geben Sie einen Namen für dieses Profil ein (z.B.
vpntracker) und wählen Sie als Verbindungsrichtung „Rein“ oder „Beide“.
Den Punkt 2 „Verbindungsaufbau zu externem LAN“ können Sie auslassen.
Bei „3. Einwahl von externen LAN“ geben Sie bitte einen Usernamen ein und
lassen das Passwort Feld frei. Aktivieren Sie unter „Einwahl zulassen über“ nur
„IPSec Tunnel“. Deaktiveren alle anderen Einwahltypen.
Unter TCP/IP Einstellungen geben Sie als „Entfernte Netzwerk IP“ die gleiche
Adresse ein, die Sie auch in VPN Tracker als Local Host eingeben (z.B. 10.1.2.3).
Dies ist die virtuelle IP Adresse Ihres VPN Tracker Hosts. Unter dieser Adresse ist
auch Ihr Mac aus dem DrayTek LAN erreichbar. Ändern Sie noch die „Entfernte
Teilnetzmaske“ auf 255.255.255.255. Zuletzt müssen Sie noch unter „RIP Pakete
tauschen“ RIP ausschalten.
7
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
Abbildung 5: VPN / LAN-LAN Verbindung
8
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
>
Multiple VPN Tracker Hosts
DrayTek Router unterstützen mehere VPN Tunnel gleichzeitig. Hierfür wiederholen
sie den Schritt 4. Verwenden sie andere Namen, wie z.B. vpn2 und andere
„Entfernte Netzwerk IPs“ Der Vigor 2200/2600 kann bis zu 8 Tunnel gleichzeitig
aufbauen. Der Vigor 2300 sogar bis zu 16.
3.2
Schritt 1
VPN Tracker Konfiguration
Fügen Sie eine neue Verbindung hinzu. Wählen Sie als Connection Type DrayTek
Vigor, als Mode „Host to Network“ und als „Remote Endpoint“ die IP Adresse des
DrayTek Vigor Routers (169.1.2.3). Geben Sie noch das entfernte Netzwerk „Remote
Network“ an (192.168.1.0/24). Tippen Sie unter „local host“ die selbe IP Adresse
ein wie in Abbildung 5 (10.1.2.3), das ist Ihre virtuelle IP Adresse.
Abbildung 6: VPN Tracker Connection Dialog
Schritt 2
Bitte geben Sie noch ihren „Pre-shared key“ (ihr Passwort) ein. Dazu klicken Sie
auf „Edit pre-shared key“. Dieses Passwort muss genau mit dem übereinstimmen,
dass Sie in Abbildung 2 eingeben haben.
9
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
Abbildung 7: Shared key Dialog
Schritt 3
Speichern Sie die Verbindung und starten Sie IPsec durch klicken auf „Start IPsec“
im VPN Tracker Hauptfenster.
Fertig! Nach 10-20 Sekunden sollte das rote Status Lämpchen grün werden. Das
bedeutet dass die Verbindung ordnungsgemäß aufgebaut wurde. Nachdem IPsec
gestartet wurde, können Sie das Programm verlassen; die VPN Verbindung bleibt
erhalten.
Zum Testen der Verbindung können Sie den DrayTek Vigor pingen. Dazu rufen Sie
vom Einwahl Mac das „Terminal“ Programm auf und tippen:
ping 192.168.1.10
Aus dem DrayTek Vigor Netzwerk können Sie auch den Mac pingen:
ping 10.1.2.3
>
Fehlersuche
Wenn das Status Lämpchen nicht grün wird, überprüfen Sie bitte Ihre
Einstellungen. Gute Informationen liefern auch die Protokolle auf beiden Seiten. Bei
VPN Tracker können sie es durch [File -> Show Log] anzeigen lassen.
10
4. Verbindung zu DrayTek Vigor mit dynamischem DNS
4. Verbindung zu DrayTek Vigor mit
dynamischem DNS
Eine Vielzahl von Benutzern bekommt von ihrem Provider keine feste IP Adresse. In
den meisten Fällen von DSL wird man sogar nach 24 Stunden vom Internet
getrennt, und erhält bei der automatischen Widereinwahl eine neue IP Adresse.
Bitte stellen Sie sicher, dass die VPN Verbindung mit statischen IP Adressen
korrekt funktioniert (Kapitel 3), bevor Sie den Vigor mit dynamischen DNS
konfigurieren.
Eine bekannte IP Adresse ist die Voraussetzung um einen VPN Server zu betreiben.
Es existieren spezielle DynDNS Dienste, mit denen es sich vermeiden lässt, jeweils
die aktuelle IP Adresse in VPN Tracker einzutragen. Der DynDNS Provider übersetzt
einen Domain Namen wie vpntracker.dyndns.org in die jeweils aktuelle IP Adresse
des Routers. Die DrayTek Vigor Router können automatisch den DnyDNS Provider
über einen IP Adressen Wechsel informieren. Wenn dies während einer VPN
Verbindung passiert, müssen Sie die Verbindung manuell neu starten um den
Server wieder zu erreichen.
Wie man das DynDNS Feature verwendet, ist ausführlich im DrayTek Handbuch
beschrieben. In VPN Tracker müssen Sie nur die IP Adresse (z.B. 169.1.2.3) im Feld
„Remote Endpoint“ durch einen DynDNS Hostnamen ersetzen (z.B.
vpntracker.dyndns.org)
Abbildung 8: VPN Tracker Connection Dialog mit DynDNS
11

Download Report