LAN to LAN IPSec-VPN-Verbindung zwischen DrayTek-Routern und Securepoint UTM-Firewalls

Anleitung zur Konfiguration einer VPN-Verbindung zwischen einem DrayTek-Vigor-Router und einer Securepoint UTM-Firewall am Beispiel des DrayTek Vigor 2950

Anhand dieses How-To´s werden die einzelnen Schritte zur Einrichtung einer LAN-to-LAN-VPN-Verbindung am Beispiel des DrayTek Vigor 2950 und einer Securepoint-UTM-Firewall erklärt.

Vorbereitung

Vor der Konfiguration der LAN-to-LAN-VPN-Verbindung stellen Sie sowohl im DrayTek-Router als auch im Securepoint-Modell folgendes sicher:

  • beide Router verfügen über unterschiedliche IP-Adressbereiche
  • beide Router haben eine aktive Internetverbindung und
  • besitzen entweder eine feste öffentliche IP-Adresse oder einen DynDNS-Account bei einem DynDNS-Anbieter

Für den Fall, dass Sie sich noch kein Dynamic DNS-Account erstellt haben, bieten wir Ihnen mit "TwoDNS" (www.twodns.de) einen eigenen deutschen und kostenlosen Dynamischen-DNS-Dienst an. Der Server für die DynDNS-Konfiguration lautet: update.twodns.de

Wenn all diese Voraussetzungen erfüllt sind können Sie mit der Einrichtung der VPN-Verbindung beginnen.

Durchführung in der Securepoint UTM-Firewall

In diesem How-to verwenden wir IPSec für den Aufbau der LAN-to-LAN-Verbindung.

Das dafür notwendige Menü finden Sie unter "VPN >> IPSec Assistent"

IPSec Assistent

IPSec Assistent

Da wir 2 Router/Gateways miteinander verbinden möchten, wählen Sie "Site-to-Site (Zwei Gateways verbinden)" aus. Nach der Auswahl drücken Sie auf "Weiter".

IPSec Aissistent - Eingabe Verbindungsname und Gateway

IPSec Aissistent - Eingabe Verbindungsname und Gateway

Im nächsten Fenster vergeben Sie diesem VPN-Tunnel unter "Verbindungsname" eine Bezeichnung. Im Feld "Gateway" tragen Sie die feste IP-Adresse des DrayTek-Routers ein. Verfügen Sie hingegen über eine DynDNS-Domain, dann 0.0.0.0.

IPSec Assistent - Authentifizierung

IPSec Assistent - Authentifizierung

In der nachfolgendes Übersicht haben wir die Möglichkeit die Art der Authentifizierung auszuwählen. Für unseren IPSec-Tunnel verwenden wir einen Preshared-Key. Anders als in diesem Beispiel verwenden Sie, nach Möglichkeit, ein Passwort, das aus Zahlen, Klein- und Großbuchstaben besteht. Dies trägt zur Sicherheit der Verbindung bei. Wenn Sie sich für einen Preshared-Key entschieden haben drücken Sie auf "Weiter".

IPSec Assistent - Local- und Remote Gateway ID

IPSec Assistent - Local- und Remote Gateway ID

Der Assistent möchte nun von Ihnen wissen, über welche Schnittstelle die Verbindung aufgebaut werden soll. Nach der Ersteinrichtung der Securepoint Piranja ist dies automatisch "ppp0". Bei "Remote Gateway ID" tragen Sie je nachdem, ob der DrayTek über einen DynDNS-Namen oder eine feste IP verfügt, folgendes ein: Bei der Verwendung eines DynDNS-Namens verwenden Sie den Eintrag "0.0.0.0". Besitzen Sie eine feste IP-Adresse, dann geben Sie diese dort an. Mit "Weiter" geht es zu den letzten Einstellungen.

IPSec Assistent - Eingabe des Zielnetzwerkes

IPSec Assistent - Eingabe des Zielnetzwerkes

Abschließend ist bei "Ziel Netzwerk" der interne Adressbereich des DrayTek-Routers anzugeben. Achten Sie darauf das "Firewall Regeln automatisch erstellen" aktiviert ist. Schließen Sie die Einrichtung mit "Fertig stellen" ab. Alle Grundeinstellungen sind hiermit in der Securepoint abgeschlossen.

Durchführung im DrayTek Vigor 2950

In der Benutzeroberfläche unter

VPN and Remote Access >> LAN to LAN

finden Sie die VPN-Tunnel-Profile/Indexe. Wählen Sie einen freien Index aus.

DrayTek Vigor 2950 >> VPN and Remote Access >> LAN to LAN

DrayTek Vigor 2950 >> VPN and Remote Access  >> LAN to LAN Klicken Sie auf das Bild um es zu vergrössern.

Vergeben Sie diesem Profil einen Namen.

Auf der rechten Seite setzen Sie den Punkt auf "Dial-Out" und aktivieren die Option "Always on".

In den "Dial-Out Settings" wählen Sie als VPN-Protokoll "IPSec Tunnel" aus und geben darunter in "Server IP/Hostname for VPN" die feste IP-Adresse oder den Dynamischen DNS-Namen der Securepoint Piranja an.

Direkt rechts daneben wählen Sie "Pre-Shared Key" aus und geben durch einen Klick auf "IKE Pre-Shared Key" das gleiche Passwort ein, das Sie bereits in der Konfiguration der Securepoint benutzt haben.

Im Bereich "IPSec Security Method" muss "High (ESP) - 3DES with Authentication" ausgewählt werden.

Ein Klick auf "Advanced" öffnet ein weiteres Menü des Sie wie folgt ausfüllen.

IKE advanced settings

IKE advanced settings Klicken Sie auf das Bild um es zu vergrössern.

Abschließend geben Sie unter "TCP/IP Network Settings" im Feld "Remote Network IP" den internen IP-Adressbereich der Securepoint UTM-Firewall an.

DrayTek Vigor 2950 >> VPN and Remote Access >> LAN to LAN

DrayTek Vigor 2950 >> VPN and Remote Access >> LAN to LAN Klicken Sie auf das Bild um es zu vergrössern.

Speichern Sie Ihre Einstellungen mit "OK".

Wenn alle eingegebenen Daten, sowohl in der Securepoint als auch DrayTek Vigor 2950 korrekt eingetragen wurden ist unter "Connection Status" ein grüner Eintrag sichtbar.

DrayTek Vigor 2950 - VPN Connection Status

DrayTek Vigor 2950 - VPN Connection Status Klicken Sie auf das Bild um es zu vergrössern.

In der Securepoint-Firewall können Sie den Status ebenfalls überprüfen. Diesen finden Sie unter "VPN >> IPSec-Verbindungen".

Securepoint Piranja - Der IPSec-Tunnel steht

Securepoint Piranja - Der IPSec-Tunnel steht Klicken Sie auf das Bild um es zu vergrössern.

Link zum Thema:
DrayTek Vigor 2950-Serie
Securepoint UTM-Firewalls