Beschreibung:
In manchen Umgebungen ist es nicht möglich, über eine vorhandene Internetverbindung eine geschützte VPN-Verbindung aufzubauen, weil in den Einstellungen einer vorgeschalteten Firewall die von IPSec genutzten Ports gesperrt sind. Um auch in einer solchen Situation eine IPSec-geschützte VPN-Verbindung aufbauen zu können, unterstützen LANCOM VPN-Router und der LANCOM Advanced VPN-Client die IPSec over HTTPS-Technologie.


Voraussetzungen:


Funktionsweise:
Bei IPSec over HTTPS wird zunächst eine Datenübertragung über Standard-IPSec versucht. Kommt diese Verbindung nicht zustande (z.B. weil der IKE Port 500 in einem Mobilfunknetz gesperrt ist), so wird automatisch ein Verbindungsaufbau versucht, bei dem das IPSec VPN mit einem zusätzlichen SSL-Header (Port 443, wie bei HTTPS) gekapselt wird.
Bitte beachten Sie:
  • dass die IPSec over HTTPS-Technologie nur genutzt werden kann, wenn beide Gegenstellen diese Funktion unterstützen und die entsprechenden Optionen aktiviert sind
  • dass es aufgrund der mehrfachen Kapselung der IP-Pakete zu Einbußen im Datendurchsatz kommen kann


Konfiguration:

IKEv1-Verbindungen:

Für den aktiven Verbindungsaufbau eines LANCOM-VPN-Router zu einer anderen VPN-Gegenstelle mit Hilfe der IPSec over HTTPS-Technologie aktivieren Sie die Option im entsprechenden Eintrag für die Gegenstelle in der VPN Verbindungsliste.

Bitte beachten Sie, dass bei eingeschalteter IPSec over HTTPS-Option die VPN-Verbindung nur aufgebaut werden kann, wenn die Gegenstelle diese Technologie ebenfalls unterstützt und die Annahme von passiven VPN-Verbindungen mit IPSec-over-HTTPS bei der Gegenstelle aktiviert ist.

Ein Versuch des Verbindungsaufbaus über UDP (DynVPN) findet durch das Aktivieren dieser Option nicht mehr statt.


IKEv2-Verbindungen:
Öffnen Sie die Verbindungs-Parameter im Menü VPN → IKEv2/IPSec und erstellen Sie ein Profil, in welchem Sie als "Encapsulation" die Option "SSL" auswählen.
Weisen Sie dieses Verbindungsprofil den VPN-Verbindungen zu, bei welchen Sie IPSec-over-HTTPS verwenden wollen.
Für den passiven Verbindungsaufbau zu einem LANCOM-VPN-Router von einer anderen VPN-Gegenstelle mit Hilfe der IPSec over HTTPS-Technologie (LANCOM-VPN-Router oder LANCOM Advanced VPN Client) aktivieren Sie die Option in den allgemeinen VPN-Einstellungen.


LANCOM Advanced VPN Client:
Die IPSec over HTTPS-Funktion können Sie in den Profil-Einstellungen unter Konfiguration → Profile aktivieren.
  • Wechseln Sie in den Profil-Einstellungen in Erweiterte IPSec-Optionen und aktivieren Sie die Option wie im Screenshot oben gezeigt.


IPsec over HTTPs beim Advanced VPN Client erzwingen:

Wenn es erforderlich ist, dass der Advanced VPN Client sich immer via IPsec over HTTPS verbinden soll, muss im Profil des Clients folgendes eingestellt werden:

  • In Ihrem Profil unter Erweiterte IPsec-Optionen den Punkt UDP Encapsulation anklicken und den Port auf den Wert 444 setzen.

Ist die Option IPSec over HTTPS aktiv, führt der LANCOM Advanced VPN Client bei Verwendung des Modus Standard IPSec automatisch ein Fallback auf IPSec over HTTPS durch. In dieser Einstellung versucht der VPN-Client zunächst eine Verbindung ohne die zusätzliche SSL-Kapselung aufzubauen. Falls diese Verbindung nicht aufgebaut werden kann, versucht das Gerät im zweiten Schritt eine Verbindung mit der zusätzlichen SSL-Kapselung aufzubauen.