Beschreibung:

Dieser Artikel beschreibt, wie Sie mit einem LANCOM Router VPN-Clients per IKEv2-EAP an einer Microsoft Active Directory Domäne authentifizieren.


Voraussetzungen:

  • LCOS ab Version 10.40 Rel (download aktuelle Version)
  • LANtools ab Version 10.40 Rel (download aktuelle Version)
  • LANCOM Central Site Gateway, Router der 19xx Serie, WLAN Controller oder LANCOM Router mit aktivierter VPN 25-Option
  • Advanced VPN Client ab Version 3.10
  • Windows Server mit bereits eingerichteter und funktionsfähiger Domäne
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface des Routers


Szenario:

VPN-Clients sollen an einem Windows Server per Active Directory mit Benutzername und Passwort (MSCHAPv2) authentifiziert werden.


Vorgehensweise:

1. Aktivieren der CA und Erstellen der Zertifikate auf dem Router per Smart Certificate:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü Zertifikate → Zertifizierungsstelle (CA) und setzen den Haken bei Zertifizierungsstelle (CA) aktiviert.

Schreiben Sie die Konfiguration anschließend in den Router zurück.

Aktivieren der Zertifizierungsstelle (CA) in LANconfig

1.2 Öffnen Sie das Webinterface des Routers und wechseln in das Menü Setup-Wizards → Zertifikate verwalten.

Aufrufen der Zertifikats-Verwaltung in WEBconfig

1.3 Klicken Sie auf Neues Zertifikat erstellen.

Neues Zertifikat in der Zertifikats-Verwaltung erstellen

1.4 Passen Sie folgende Parameter an, klicken auf Erstellen (PKCS#12) und speichern das Zertifikat ab:

  • Profilname: Wählen Sie im Dropdownmenü VPN aus.
  • Allgemeiner Name (CN): Geben Sie einen aussagekräftigen Common Name an.
  • Gültigkeitsperiode: Hinterlegen Sie eine möglichst lange Gültigkeitsdauer (in diesem Beispiel 10 Jahre).
  • Passwort: Geben Sie ein Passwort an, mit welchem das Zertifikat verschlüsselt wird. 

Parameter für ein VPN-Zertifikat im Konfigurations-Dialog für neue Zertifikate eintragen

1.5 Wechseln Sie im Webinterface in das Menü Extras → Zertifikat oder Datei hochladen.

Aufrufen des Menüs Zertifikat oder Datei hochladen in WEBconfig

1.6 Passen Sie folgende Parameter an und klicken auf Upload starten:

  • Dateityp: Wählen Sie im Dropdownmenü einen bisher nicht verwendeten VPN-Container aus (in diesem Beispiel wird der VPN-Container (VPN1) verwendet).
  • Dateiname: Wählen Sie das in Schritt 1.4 erstellte Zertifikat aus.
  • Passphrase: Geben Sie das in Schritt 1.4 hinterlegte Passwort an.

VPN-Zertifikat per WEBconfig hochladen



2. Einrichtung der IKEv2-EAP Verbindung auf dem Router:

2.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü VPN → Allgemein und wählen bei Virtual Private Network im Dropdownmenü Aktiviert aus.

Aktivieren der VPN-Funktionalität in LANconfig

2.2 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.

Aufrufen des Menüs Authentifizierung in LANconfig

2.3 Erstellen Sie ein neues Authentifizierungs-Profil.

Neues Authentifizierungs-Profil hinzufügen

2.4 Passen Sie folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Lokale Authentifizierung: Wählen Sie im Dropdownmenü RSA-Signature aus.
  • Lokaler Identitätstyp: Wählen Sie im Dropdownmenü ASN.1.Distinguished-Name aus.
  • Lokale Identität: Hinterlegen Sie die in Schritt 1.4 vergebenen Common Name.
  • Entfernte Authentifizierung: Wählen Sie im Dropdownmenü EAP aus.
  • Lokales Zertifikat: Wählen Sie im Dropdownmenü den in Schritt 1.6 verwendeten VPN-Container aus.

Parameter für das Authentifizierungs-Profil eintragen

2.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → IPv4-Adressen.

Aufrufen des Menüs IPv4-Adressen in LANconfig

2.6 Passen Sie folgende Parameter an, um einen neuen IPv4-Adress-Pool zu erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Erste Adresse: Geben Sie die erste IP-Adresse aus einem Adress-Pool an, aus dem die VPN-Clients bei der Einwahl eine IP-Adresse beziehen.
  • Letzte Adresse: Geben Sie die letzte IP-Adresse aus einem Adress-Pool an, aus dem die VPN-Clients bei der Einwahl eine IP-Adresse beziehen.

Erstellen eines IPv4-Adress-Pools für VPN-Einwahl-Verbindungen

2.7 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.

Aufrufen des Menüs Erweiterte Einstellungen in LANconfig

2.8 Wechseln Sie in das Menü RADIUS-Server.

Aufrufen des Menüs RADIUS-Server in den erweiterten Einstellungen

2.9 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Server Adresse: Hinterlegen Sie die IP-Adresse oder einen DNS-Namen unter dem der Windows Server erreichbar ist.
  • Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
  • Schlüssel (Secret): Geben Sie ein Passwort an, mit dem der Router sich bei dem Windows Server authentifizieren und RADIUS-Anfragen stellen kann (siehe Schritt 3.3). 
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS hinterlegt ist.

Parameter für RADIUS-Server eintragen

2.10 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.

Aufrufen des Menüs Verbindungs-Liste in LANconfig

2.11 Bearbeiten Sie den vorhandenen DEFAULT-Eintrag.

Eintrag DEFAULT in der Verbindungs-Liste bearbeiten

2.12 Passen Sie folgende Parameter an:

  • Name der Verbindung: Belassen Sie es bei dem Namen DEFAULT.
  • Authentifizierung: Wählen Sie im Dropdownmenü das in Schritt 2.4 erstellte Authentifizierungs-Profil aus.
  • Regelerzeugung: Setzen Sie die Regelerzeugung auf Manuell.
  • IPv4-Regeln: Wählen Sie im Dropdownmenü das ab Werk vorhandene Objekt RAS-WITH-CONFIG-PAYLOAD aus.
  • IKE-CFG: Wählen Sie im Dropdownmenü Server aus.
  • IPv4-Adress-Pool: Wählen Sie im Dropdownmenü den in Schritt 2.6 erstellten IP-Adress-Pool aus.
  • RADIUS-Auth.-Server: Wählen Sie im Dropdownmenü das in Schritt 2.9 erstellte RADIUS-Objekt aus.

Parameter im Eintrag DEFAULT anpassen

2.13 Die Konfiguration der VPN-Verbindung ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



3. Einrichtung der Netzwerkrichtlinien-Dienste auf dem Windows Server:

3.1 Installieren Sie die Rolle Netzwerkrichtlinien- und Zugriffsdienste auf dem Windows Server.

Aufrufen des Menü Netzwerkrichtlinien- und Zugriffsdienste auf dem Windows-Server

3.2 Wechseln Sie in den in Schritt 3.1 erstellten Netzwerkrichtlinienserver.

Aufrufen des Menüs Netzwerkrichtlinienserver auf dem Windows-Server

3.3 Erstellen Sie unter NPS → RADIUS-Clients und -Server einen neuen RADIUS-Client und passen folgende Parameter an:

  • Stellen Sie sicher, dass der Haken bei Diesen RADIUS-Client aktivieren gesetzt ist.
  • Anzeigename: Vergeben Sie einen aussagekräftigen Namen.
  • Adresse (IP oder DNS): Geben Sie die IP-Adresse oder den DNS-Namen des Routers an.
  • Gemeinsamer geheimer Schlüssel: Geben Sie das Shared Secret an, welches Sie in Schritt 2.9 auf dem Router hinterlegt haben.
  • Bestätigen: Wiederholen Sie das Shared Secret.

Erstellen eines RADIUS-Clients auf dem Windows-Server

3.4 Erstellen Sie unter Richtlinien eine neue Netzwerkrichtlinie und vergeben einen aussagekräftigen Namen:

Erstellen einer Netzwerkrichtlinie auf dem Windows-Server

3.5 Wechseln Sie in den Reiter Bedingungen und klicken auf Hinzufügen.

Bedingungen für die Netzwerkrichtlinie hinzufügen

3.6 Klicken Sie auf Gruppen hinzufügen, um eine neue Benutzergruppe zu hinterlegen. 

Benutzergruppe als Bedingung für die Netzwerkrichtlinie hinzufügen 

3.7 Wählen Sie die Benutzergruppe aus, die eine VPN-Verbindung aufbauen können soll.

Benutzergruppe auswählen

3.8 Wechseln Sie in den Reiter Einschränkungen und wählen bei Authentifizierungsmethoden den EAP-Typen Microsoft: Gesichertes Kennwort (EAP-MSCHAP v2) aus.

EAP-MSCHAP v2 als Authentifizierungsmethode für die Netzwerkrichtlinie als Einschränkung auswählen

3.9 Wechseln Sie in den Reiter Einstellungen und stellen sicher, dass in dem Menü RADIUS-Attribute → Standard die Attribute Framed-Protocol - PPP und Service-Type - Framed hinterlegt sind.

RADIUS-Attribute in den Einstellungen der Netzwerkrichtlinie auswählen

3.10 Importieren Sie das in Schritt 1.4 erstellte Zertifikat in den Windows Zertifikats-Speicher.

Ein Verweis auf das Zertifikat im Windows Server ist nicht erforderlich. Dieses wird nach dem Import automatisch gefunden.

3.11 Führen Sie einen Rechtsklick auf NPS aus und wählen im Kontextmenü NPS-Dienst starten aus.

 NPS-Dienst auf dem Windows-Server starten

3.12 Führen Sie einen weiteren Rechtsklick auf NPS aus und wählen im Kontextmenü Server in Active Directory registrieren aus.

Server in Active Directory registrieren auf dem Windows-Server

3.13 Erstellen Sie in der Windows Firewall eine Regel, die den eingehenden Datenverkehr für den UDP-Port 1812 erlaubt.

Port als Regeltyp im Setup-Assistent zum Erstellen einer Firewall-Regel auf dem Windows-Server auswählen  UDP-Port 1812 im Setup-Assistent zum Erstellen einer Firewall-Regel auf dem Windows-Server eintragen  

3.14 Erlauben Sie die Verbindung und wählen aus von wo ein Zugriff über die Firewall-Regel erlaubt sein soll.

Auswahl der Aktion Verbindung zulassen im Setup-Assistent zum Erstellen einer Firewall-Regel auf dem Windows Server  Profil-Einstellungen im Setup-Assistent zum Erstellen einer Firewall-Regel auf dem Windows Server setzen

3.15 Vergeben Sie einen aussagekräftigen Namen für die Regel.

Aussagekräftigen Namen im Setup-Assistent auf dem Windows-Server eintragen

3.16 Fügen Sie zu der in Schritt 3.7 ausgewählten Benutzergruppe AD-Benutzerkonten hinzu, damit diese per EAP authentifiziert werden können.

3.17 Die Einrichtung der Netzwerkrichtlinien-Dienste auf dem Windows Server ist damit abgeschlossen.



4. Export des CA-Zertifikats vom LANCOM Router und Import im Advanced VPN Client:

4.1 Verbinden Sie sich mit dem Webinterface des LANCOM Routers, wechseln in das Menü Extras → Aktuelles CA Zertifikat herunterladen und speichern das Zertifikat ab.

Aufrufen des Menüs Aktuelles CA Zertifikat herunterladen in WEBconfig

4.2 Kopieren Sie das Zertifikat auf dem Computer, der die VPN-Verbindung aufbauen soll, in den Ordner C:\ProgramData\LANCOM\Advanced VPN Client\cacerts.

Bei Verwendung der Client-Version 6.21 kann das Verzeichnis auch C:\ProgramData\LANCOM\Trusted Access Client\cacerts lauten. Dies ist abhängig davon, ob Sie die Version 6.21 initial neu installiert haben, oder von einer älteren Version aktualisiert haben.

4.3 Starten Sie den Advanced VPN Client und wechseln in das Menü Verbindung → Zertifikate → CA-Zertifikate anzeigen.

CA-Zertifikat im Advanced VPN Client anzeigen

4.4 Prüfen Sie, ob das Zertifikat vom Advanced VPN Client erkannt wird.

Korrekt erkanntes CA-Zertifikat im Advanced VPN Client



5. Einrichtung einer IKEv2-EAP Verbindung mit dem Advanced VPN Client:

5.1 Wechseln Sie im Advanced VPN Client in das Menü Konfiguration → Profile.

Aufrufen der Profile im Advanced VPN Client

5.2 Klicken Sie auf Hinzufügen/Import, um eine neue VPN-Verbindung zu erstellen.

Erstellen eines neuen VPN-Profils im Advanced VPN Client

5.3 Wählen Sie Verbindung zum Firmennetz über IPSec aus und klicken auf Weiter.

Aufrufen des Setup-Assistenten Verbindung zum Firmennetz über IPSec

5.4 Vergeben Sie einen aussagekräftigen Profil-Namen.

Aussagekräftigen Namen im Setup-Assistent eintragen

5.5 Wählen Sie im Dropdownmenü das verwendete Verbindungsmedium aus, mit dem die VPN-Verbindung aufgebaut werden soll.

Soll die VPN-Verbindung mit unterschiedlichen Verbindungsmedien aufgebaut werden können (etwa LAN und WLAN), wählen Sie automatische Medienerkennung aus.

Verbindungsmedium im Setup-Assistent auswählen

5.6 Tragen Sie bei Gateway (Tunnel-Endpunkt) die öffentliche IP-Adresse oder den DNS-Namen des Routers ein.

Öffentliche IP-Adresse oder DNS-Name als Gateway im Setup-Assistent eintragen

5.7 Passen sie folgende Parameter an:

  • Austausch-Modus: Wählen Sie im Dropdownmenü IKEv2 aus.
  • PFS-Gruppe: Wählen Sie im Dropdownmenü DH14 (modp2048) aus.

Im Setup-Assistent den Austausch-Modus auf IKEv2 und PFS-Gruppe auf DH14 setzen

5.8 Da die Authentifizierung per EAP nicht im Assistenten konfiguriert werden kann, muss dies im Nachgang manuell vorgenommen werden (siehe Schritte 5.12 - 5.13). Klicken Sie daher auf Weiter ohne Änderungen vorzunehmen. 

Konfiguration der lokalen Identität und des Pre-shared Keys im Setup-Assistent überspringen

5.9 Wählen Sie bei IP-Adressen-Zuweisung im Dropdownmenü IKE Config Mode verwenden aus, damit der Advanced VPN Client bei der VPN-Einwahl eine IP-Adresse vom Router bezieht.

IKE-Config-Mode zur IP-Adress-Zuweisung im Setup-Assistent auswählen

5.10 Tragen Sie das Zielnetzwerk ein, zu dem die VPN-Verbindung aufgebaut werden soll. Dadurch wird nur der für das Zielnetzwerk bestimmte Datenverkehr über den VPN-Tunnel geroutet.

Klicken Sie anschließend auf Fertigstellen.

Weitere Informationen zum Split Tunneling finden Sie in diesem Knowledge Base Artikel.

Zielnetzwerk der VPN-Verbindung im Split-Tunneling hinterlegen und Setup-Assistent abschließen

5.11 Markieren Sie das in Schritt 5.1 - 5.10 erstellte VPN-Profil und klicken auf Bearbeiten.

VPN-Profil im Advanced VPN Client bearbeiten

5.12 Wechseln Sie in den Reiter IPSec-Einstellungen und setzen die IKEv2-Authentisierung auf EAP.

IKEv2-Authentisierung in dem Menü IPSec-Einstellungen auf EAP setzen

5.13 Wechseln Sie in den Reiter Identität und tragen die Lokale Identität sowie die Zugangsdaten für den Benutzer ein. 

Der Benutzername muss vollständig mit Angabe der Domäne angegeben werden.

Lokale Identität sowie Benutzername und Passwort für die EAP-Authentisierung in dem Menü Identität eintragen

5.14 Die Einrichtung der VPN-Verbindung im Advanced VPN Client ist damit abgeschlossen. Bestätigen Sie die manuell vorgenommenen Änderungen mit einem Klick auf OK.