View
214
Download
0
Category
Preview:
Citation preview
VPN Tracker für Mac OS X
How-to:
Kompatibilität mit
DrayTek Vigor
VPN Routern
Rev. 3.0
Copyright © 2003-2005 equinux USA Inc. Alle Rechte vorbehalten.
1. Einführung
2
1. Einführung
Diese Anleitung beschreibt, wie eine Verbindung mit VPN Tracker und einemDrayTek Vigor aufgebaut werden kann. Die komplette VPN Produktpalette vonDrayTek sollte mit VPN Tracker kompatibel sein. equinux hat den DrayTek Vigor2200 getestet.
Der DrayTek Vigor ist als Router konfiguriert, der das Firmennetz mit dem Internetverbindet.
Diese Anleitung ist kein Ersatz für das Handbuch, dass Ihnen mit Ihrem Vigormitgeliefert wurde. Bitte lesen Sie zuerst das DrayTek Handbuch bevor Sie mitdiesem How-To beginnen.
Alle Warenzeichen, Produktnamen, Firmennamen, Logos oder Screenshots, die indiesem Dokument verwendet werden, sind Eigentum der jeweiligen Besitzer.
EQUINUX SHALL HAVE ABSOLUTELY NO LIABILITY FOR ANY DIRECT OR INDIRECT,SPECIAL OR OTHER CONSEQUENTIAL DAMAGES IN CONNECTION WITH THE USE OFTHE HOW-TO OR ANY CHANGE TO THE ROUTER GENERALLY, INCLUDING WITHOUTLIMITATION, ANY LOST PROFITS, BUSINESS, OR DATA, EVEN IF EQUINUX HAS BEENADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
2. Vorraussetzungen
3
2. Vorraussetzungen
Bitte stellen Sie sicher, dass Ihr DrayTek Router über VPN Funktionalität verfügt.Details dazu entnehmen Sie bitte dem DrayTek Handbuch.
Zusätzlich sollten Sie eine aktuelle DrayTek Firmware Version verwenden. Dieneueste Firmware kann unter folgender Adresse bezogen werden.
http://www.DrayTek.com.tw
equinux verwendete zum Testen Firmware Version 2.3.11
VPN Tracker ist kompatibel mit Mac OS X 10.2.5/10.3 oder höher.
Bitte stellen sie sicher, dass sie VPN Tracker 2.2.7/3.5.1 oder höher verwenden.
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
4
3. Verbindung eines VPN Tracker Host zueinem DrayTek Vigor
In diesem Beispiel ist der Mac, auf dem VPN Tracker läuft, direkt per Einwahl oderDSL mit dem Internet verbunden. Der DrayTek Vigor hat eine statische WAN IPAdresse (169.1.2.3) und NAT aktiviert. Die Computer im lokalen LAN hinter demDrayTek Router haben Internetzugang und verwenden die LAN IP (192.168.1.1) desVigor als ihren “Default Gateway”.
Abbildung 1: VPN Tracker – DrayTek Vigor Verbindungs Diagramm
DrayTek VigorWAN 169.1.2.3
LAN 192.168.1.1 192.168.1.10
192.168.1.20
192.168.1.30
Mac-VPN Trackerdynamische IP
LAN192.168.1.0/24
New York
München
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
5
3.1 D rayT ek V igor K onfiguration
Der “Connection Type” in VPN Tracker wurde für die Standard Einstellungen aufden DrayTek Vigor Routern erstellt. Wenn Sie Änderungen im DrayTek “ConnectionType” vornehmen, müssen Sie die entsprechenden Änderungen auch auf demRouter durchführen.
Einwahl Aktivieren:
Um die Einwahl zu Aktivieren, wählen Sie [Spezielle Einstellungen -> VPN undexterne Einwahl -> Einwahl aktivieren] und aktivieren „IPSec“.
Abbildung 1: DrayTek Vigor - IPSec Einwahl aktivieren
Schritt 1
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
6
VPN IKE / IPSec Einstellungen:
Gehen Sie zu [Spezielle Einstellungen -> VPN und externe Einwahl -> VPN IKE /IPSec Einstellungen]. Geben Sie Ihren IPSec-Schlüssel (auch Pre-shared Key oderPasswort genannt) zweimal ein. Entfernen sie den Haken bei “Mittlere Sicherheit(AH)” und wählen sie als IPSec ESP Methode „Beides“. Bei den „Einstellungen fürdie Anwahl des anderen Routers“ müssen Sie nichts eingeben. Beachten Sie aber,dass alle Einwahl-Benutzer das selbe Passwort verwenden.
Abbildung 2: DrayTek Vigor - VPN IKE / IPSec Einstellungen
Schritt 2
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
7
Erstellen der VPN / LAN-LAN Verbindung:
Um ein neues LAN-LAN Profil zu erstellen, gehen Sie bitte zu [SpezielleEinstellungen -> VPN / LAN-LAN Verbindung]. Wenn Sie unter Index auf „1.“ klicken,können sie ein neues Profil erstellen.
Abbildung 3: DrayTek Vigor - VPN / LAN-LAN Verbindung
VPN / LAN-LAN Verbindung:
In den Grundeinstellungen geben Sie einen Namen für dieses Profil ein (z.B.vpntracker) und wählen Sie als Verbindungsrichtung „Rein.
Den Punkt 2 „Verbindungsaufbau zu externem LAN“ können Sie auslassen.
Bei „3. Einwahl von externen LAN“ aktivieren Sie unter „Einwahl zulassen über“nur „IPSec Tunnel“. Alle anderen Einwahl Typen sollten deaktiviert sein.
Unter TCP/IP Einstellungen geben Sie als „Entfernte Netzwerk IP“ die gleicheAdresse ein, die Sie auch in VPN Tracker als “Local Address” eingeben (z.B.DrayTek Vigor -). Dies ist die virtuelle IP Adresse Ihres VPN Tracker Hosts. Unterdieser Adresse ist auch Ihr Mac aus dem DrayTek LAN erreichbar. Ändern Sie nochdie „Entfernte Teilnetzmaske“ auf 255.255.255.255. Zuletzt müssen Sie noch unter„RIP Pakete tauschen“ RIP ausschalten.
Schritt 3
Schritt 4
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
8
Abbildung 4: DrayTek Vigor - VPN / LAN-LAN Verbindung
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
9
> Mehrere VPN Tracker Hosts
DrayTek Router unterstützen mehere VPN Tunnel gleichzeitig. Hierfür wiederholensie den Schritt 4. Verwenden Sie bitte für jeden User eine andere „EntfernteNetzwerk IP“.
3.2 VPN T racker K onfiguration
Erstellen Sie eine neue Verbingung mit den folgenden Einstellungen:
• Vendor: „Draytek“
• Model: Ihr DrayTek Router
Abbildung 5: VPN Tracker - Verbindungs Einstellungen
Step 1
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
10
Ändern Sie bitte die “Network” Einstellungen wie folgt:
• VPN Server Address: die öffentliche IP Addresse des Draytek Routers(z.B. 169.1.2.3)
• Remote Network/Mask: die Netzwerk Adresse des privaten LAN’s (z.B.
192.168.1.0/255.255.255.0).
Abbildung 6: VPN Tracker - Netzwerk Einstellungen
Step 2
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
11
Ändern Sie bitte ihre “Authentication” Einstellungen:
Pre-shared key: dieser muß mit dem “Pre-shared key” des DrayTek Routersübereinstimmen.
Abbildung 7: VPN Tracker - Authentication Einstellungen
Step 3
3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor
12
Die “Identifier” Einstellungen sollten wie folgt aussehen:
• Local Identifier: Local endpoint IP address.
• Remote Identifier: Remote endpoint IP address.
Abbildung 8: VPN Tracker - Identifiers Einstellungen
Speichern Sie die Verbindung und starten Sie IPsec durch klicken auf „Start VPN“im VPN Tracker Hauptfenster.
Fertig! Nach 5-10 Sekunden sollte das rote Status Lämpchen grün werden. Dasbedeutet dass die Verbindung ordnungsgemäß aufgebaut wurde. Nachdem dasVPN gestartet wurde, können Sie das Programm verlassen; die VPN Verbindungbleibt erhalten.
Zum Testen der Verbindung können Sie den DrayTek Vigor pingen. Dazu rufen Sievom Einwahl Mac das „Terminal“ Programm auf und tippen:
ping 192.168.1.10
> Fehlersuche
Wenn das Status Lämpchen nicht grün wird, überprüfen Sie bitte IhreEinstellungen. Gute Informationen liefern auch die Protokolle auf beiden Seiten.
Step 4
Step 5
Recommended