VPN Tracker für Mac OS X

How-to:

Kompatibilität mit

DrayTek Vigor

VPN Routern

Rev. 3.0

Copyright © 2003-2005 equinux USA Inc. Alle Rechte vorbehalten.

1. Einführung

2

1. Einführung

Diese Anleitung beschreibt, wie eine Verbindung mit VPN Tracker und einemDrayTek Vigor aufgebaut werden kann. Die komplette VPN Produktpalette vonDrayTek sollte mit VPN Tracker kompatibel sein. equinux hat den DrayTek Vigor2200 getestet.

Der DrayTek Vigor ist als Router konfiguriert, der das Firmennetz mit dem Internetverbindet.

Diese Anleitung ist kein Ersatz für das Handbuch, dass Ihnen mit Ihrem Vigormitgeliefert wurde. Bitte lesen Sie zuerst das DrayTek Handbuch bevor Sie mitdiesem How-To beginnen.

Alle Warenzeichen, Produktnamen, Firmennamen, Logos oder Screenshots, die indiesem Dokument verwendet werden, sind Eigentum der jeweiligen Besitzer.

EQUINUX SHALL HAVE ABSOLUTELY NO LIABILITY FOR ANY DIRECT OR INDIRECT,SPECIAL OR OTHER CONSEQUENTIAL DAMAGES IN CONNECTION WITH THE USE OFTHE HOW-TO OR ANY CHANGE TO THE ROUTER GENERALLY, INCLUDING WITHOUTLIMITATION, ANY LOST PROFITS, BUSINESS, OR DATA, EVEN IF EQUINUX HAS BEENADVISED OF THE POSSIBILITY OF SUCH DAMAGES.

2. Vorraussetzungen

3

2. Vorraussetzungen

Bitte stellen Sie sicher, dass Ihr DrayTek Router über VPN Funktionalität verfügt.Details dazu entnehmen Sie bitte dem DrayTek Handbuch.

Zusätzlich sollten Sie eine aktuelle DrayTek Firmware Version verwenden. Dieneueste Firmware kann unter folgender Adresse bezogen werden.

http://www.DrayTek.com.tw

equinux verwendete zum Testen Firmware Version 2.3.11

VPN Tracker ist kompatibel mit Mac OS X 10.2.5/10.3 oder höher.

Bitte stellen sie sicher, dass sie VPN Tracker 2.2.7/3.5.1 oder höher verwenden.

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

4

3. Verbindung eines VPN Tracker Host zueinem DrayTek Vigor

In diesem Beispiel ist der Mac, auf dem VPN Tracker läuft, direkt per Einwahl oderDSL mit dem Internet verbunden. Der DrayTek Vigor hat eine statische WAN IPAdresse (169.1.2.3) und NAT aktiviert. Die Computer im lokalen LAN hinter demDrayTek Router haben Internetzugang und verwenden die LAN IP (192.168.1.1) desVigor als ihren “Default Gateway”.

Abbildung 1: VPN Tracker – DrayTek Vigor Verbindungs Diagramm

DrayTek VigorWAN 169.1.2.3

LAN 192.168.1.1 192.168.1.10

192.168.1.20

192.168.1.30

Mac-VPN Trackerdynamische IP

LAN192.168.1.0/24

New York

München

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

5

3.1 D rayT ek V igor K onfiguration

Der “Connection Type” in VPN Tracker wurde für die Standard Einstellungen aufden DrayTek Vigor Routern erstellt. Wenn Sie Änderungen im DrayTek “ConnectionType” vornehmen, müssen Sie die entsprechenden Änderungen auch auf demRouter durchführen.

Einwahl Aktivieren:

Um die Einwahl zu Aktivieren, wählen Sie [Spezielle Einstellungen -> VPN undexterne Einwahl -> Einwahl aktivieren] und aktivieren „IPSec“.

Abbildung 1: DrayTek Vigor - IPSec Einwahl aktivieren

Schritt 1

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

6

VPN IKE / IPSec Einstellungen:

Gehen Sie zu [Spezielle Einstellungen -> VPN und externe Einwahl -> VPN IKE /IPSec Einstellungen]. Geben Sie Ihren IPSec-Schlüssel (auch Pre-shared Key oderPasswort genannt) zweimal ein. Entfernen sie den Haken bei “Mittlere Sicherheit(AH)” und wählen sie als IPSec ESP Methode „Beides“. Bei den „Einstellungen fürdie Anwahl des anderen Routers“ müssen Sie nichts eingeben. Beachten Sie aber,dass alle Einwahl-Benutzer das selbe Passwort verwenden.

Abbildung 2: DrayTek Vigor - VPN IKE / IPSec Einstellungen

Schritt 2

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

7

Erstellen der VPN / LAN-LAN Verbindung:

Um ein neues LAN-LAN Profil zu erstellen, gehen Sie bitte zu [SpezielleEinstellungen -> VPN / LAN-LAN Verbindung]. Wenn Sie unter Index auf „1.“ klicken,können sie ein neues Profil erstellen.

Abbildung 3: DrayTek Vigor - VPN / LAN-LAN Verbindung

VPN / LAN-LAN Verbindung:

In den Grundeinstellungen geben Sie einen Namen für dieses Profil ein (z.B.vpntracker) und wählen Sie als Verbindungsrichtung „Rein.

Den Punkt 2 „Verbindungsaufbau zu externem LAN“ können Sie auslassen.

Bei „3. Einwahl von externen LAN“ aktivieren Sie unter „Einwahl zulassen über“nur „IPSec Tunnel“. Alle anderen Einwahl Typen sollten deaktiviert sein.

Unter TCP/IP Einstellungen geben Sie als „Entfernte Netzwerk IP“ die gleicheAdresse ein, die Sie auch in VPN Tracker als “Local Address” eingeben (z.B.DrayTek Vigor -). Dies ist die virtuelle IP Adresse Ihres VPN Tracker Hosts. Unterdieser Adresse ist auch Ihr Mac aus dem DrayTek LAN erreichbar. Ändern Sie nochdie „Entfernte Teilnetzmaske“ auf 255.255.255.255. Zuletzt müssen Sie noch unter„RIP Pakete tauschen“ RIP ausschalten.

Schritt 3

Schritt 4

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

8

Abbildung 4: DrayTek Vigor - VPN / LAN-LAN Verbindung

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

9

> Mehrere VPN Tracker Hosts

DrayTek Router unterstützen mehere VPN Tunnel gleichzeitig. Hierfür wiederholensie den Schritt 4. Verwenden Sie bitte für jeden User eine andere „EntfernteNetzwerk IP“.

3.2 VPN T racker K onfiguration

Erstellen Sie eine neue Verbingung mit den folgenden Einstellungen:

• Vendor: „Draytek“

• Model: Ihr DrayTek Router

Abbildung 5: VPN Tracker - Verbindungs Einstellungen

Step 1

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

10

Ändern Sie bitte die “Network” Einstellungen wie folgt:

• VPN Server Address: die öffentliche IP Addresse des Draytek Routers(z.B. 169.1.2.3)

• Remote Network/Mask: die Netzwerk Adresse des privaten LAN’s (z.B.

192.168.1.0/255.255.255.0).

Abbildung 6: VPN Tracker - Netzwerk Einstellungen

Step 2

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

11

Ändern Sie bitte ihre “Authentication” Einstellungen:

Pre-shared key: dieser muß mit dem “Pre-shared key” des DrayTek Routersübereinstimmen.

Abbildung 7: VPN Tracker - Authentication Einstellungen

Step 3

3. Verbindung eines VPN Tracker Host zu einem DrayTek Vigor

12

Die “Identifier” Einstellungen sollten wie folgt aussehen:

• Local Identifier: Local endpoint IP address.

• Remote Identifier: Remote endpoint IP address.

Abbildung 8: VPN Tracker - Identifiers Einstellungen

Speichern Sie die Verbindung und starten Sie IPsec durch klicken auf „Start VPN“im VPN Tracker Hauptfenster.

Fertig! Nach 5-10 Sekunden sollte das rote Status Lämpchen grün werden. Dasbedeutet dass die Verbindung ordnungsgemäß aufgebaut wurde. Nachdem dasVPN gestartet wurde, können Sie das Programm verlassen; die VPN Verbindungbleibt erhalten.

Zum Testen der Verbindung können Sie den DrayTek Vigor pingen. Dazu rufen Sievom Einwahl Mac das „Terminal“ Programm auf und tippen:

ping 192.168.1.10

> Fehlersuche

Wenn das Status Lämpchen nicht grün wird, überprüfen Sie bitte IhreEinstellungen. Gute Informationen liefern auch die Protokolle auf beiden Seiten.

Step 4

Step 5