Beschreibung:

Die IKE- und IPSec-Lifetimes müssen nicht auf beiden Seiten übereinstimmen, das Rekeying wird dann von dem Initiator kurz vor Ablauf der ausgehandelten Lifetime (üblicherweise die kleinere Lifetime beider Router) angestoßen. Es kann aber in Einzelfällen zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten. Dazu müssen die Lifetimes allerdings auf beiden Routern auf den gleichen oder zumindest einen sehr ähnlichen Wert gesetzt werden.

Aus Sicherheitsgründen sollten die Lifetimes nicht zu hoch sein, da die Schlüssel ansonsten kompromittiert werden könnten. Ebenso sollten die Lifetimes aber auch nicht zu klein sein, um ein häufiges und aufwendiges Rekeying zu vermeiden.

In diesem Artikel wird beschrieben, wie die Lifetimes für IKEv1 auf einem LANCOM Router angepasst werden können. 

Wenden Sie sich bezüglich der Konfiguration der Lifetimes auf einem Gerät eines Fremdherstellers bitte an den jeweiligen Hersteller.



Voraussetzungen:

  • LCOS ab Version 8.50 (download aktuelle Version)
  • LANtools ab Version 8.50 (download aktuelle Version)
  • Bereits eingerichtete und funktionsfähige VPN-Verbindung per IKEv1
  • Informationen zu den Lifetimes müssen von der Gegenseite vorliegen oder auf beiden Seiten frei wählbar sein
  • SSH-Client wie z.B. PuTTY für den Zugriff auf die Konsole


Vorgehensweise:

1. Anpassung der IKE-Lifetimes (Phase 1):

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN → IKE/IPSec → IKE-Proposals.  

Bildschirmansicht einer technischen Konfigurationsoberfläche mit Menüoptionen für Netzwerkverbindungen, IKEVVPN-Einstellungen, Authentifizierungsprotokolle und IPSec-Vorschläge.

1.2 Klicken Sie auf Hinzufügen, um ein neues Proposal zu erstellen.

Die vorhandenen Standard-Proposals sollten auf keinen Fall bearbeitet und angepasst werden, da ansonsten gegebenenfalls andere VPN-Verbindungen nicht mehr korrekt funktionieren, wenn diese das angepasste Proposal verwenden.

Bildschirmansicht einer technischen Benutzeroberfläche, die verschiedene IKE Proposal-Konfigurationen mit Details zu Verschlüsselung, Schlüssel, Hash, Authentifizierung und Gültigkeitsdauer auflistet.

1.3 Tragen Sie die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel FILIALE-PH1-PROP). Die Länge ist auf maximal 17 Zeichen beschränkt.
  • Gültigkeitsdauer: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Eine Gültigkeitsdauer in kBytes wird in der Phase 1 nicht konfiguriert, da hier nur sehr wenige Daten übertragen werden. Belassen Sie den Wert daher auf der Standard-Einstellung kBytes.

LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 108.000 Sekunden zu verwenden (entspricht der Standard-Einstellung). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 86.400 Sekunden (1 Tag).

Screenshot einer technischen Konfigurationsseite mit Optionen für Verschlüsselung, Authentifizierung und Gültigkeitsdauer der Verbindungen.

1.4 Wechseln Sie in das Menü IKE-Proposal-Listen.

Ein Bildschirmfoto einer technischen Benutzeroberfläche, das verschiedene Konfigurationsoptionen für VPN-Verbindungen, IPSec-Proposals sowie Einstellungen für Firewall und QoS zeigt und mehrere Menüpunkte für die Verwaltung von Sicherheitseinstellungen umfasst.

1.5 Klicken Sie auf Hinzufügen, um eine neue IKE-Proposal-Liste zu erstellen.

Die vorhandenen IKE-Proposal-Listen sollten auf keinen Fall bearbeitet und angepasst werden, da ansonsten gegebenenfalls andere VPN-Verbindungen nicht mehr korrekt funktionieren, wenn diese die angepasste Liste verwenden.

Ansicht eines technischen Benutzeroberflächen-Fensters mit unklarem Text und dem Titel IKEProposalListen, möglicherweise für Netzwerkkonfigurationen oder Sicherheitseinstellungen.

1.6 Passen Sie folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel FILIALE-PH1-LIST). Die Länge ist auf maximal 17 Zeichen beschränkt.
  • Proposal: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte IKE-Proposal aus.

Ein Bildschirmfoto zeigt eine technische Benutzeroberfläche mit einer Liste von IKE Proposal-Optionen, aus denen das erste übereinstimmende Proposal für beide Seiten einer Verbindung verwendet wird.



2. Anpassung der IPSec-Lifetimes (Phase 2):

2.1 Wechseln Sie in das Menü IPSec-Proposals.

Bildschirmansicht einer komplexen technischen Benutzeroberfläche mit verschiedenen Konfigurationsmenüs zur Einstellung von VPN-Verbindungen, IKE-Proposals und Firewall-Einstellungen, ergänzt durch Monitoring- und Nachrichtenbereiche.

2.2 Klicken Sie auf Hinzufügen, um ein neues IPSec-Proposal zu erstellen.

Die vorhandenen Standard-Proposals sollten auf keinen Fall bearbeitet und angepasst werden, da ansonsten gegebenenfalls andere VPN-Verbindungen nicht mehr korrekt funktionieren, wenn diese das angepasste Proposal verwenden.

Bildschirmansicht einer technischen Benutzeroberfläche, die verschiedene IPSec-Vorschläge mit Details zu Verschlüsselung, Authentifizierung und Gültigkeitsdauer zeigt.

2.3 Tragen Sie die Verschlüsselungseinstellungen wie bei der bisherigen VPN-Verbindung ein und passen folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel FILIALE-PH2-PROP). Die Länge ist auf maximal 17 Zeichen beschränkt.
  • Gültigkeitsdauer: Tragen Sie die gewünschte Gültigkeitsdauer in Sekunden ein. Belassen Sie die Gültigkeitsdauer in kBytes auf der Standard-Einstellung 2.000.000 kBytes

LANCOM Systems empfiehlt eine maximale Gültigkeitsdauer von 28.800 Sekunden (8 Stunden) in Verbindung mit einem Datenvolumen von 2.000.000 kBytes zu verwenden (entspricht der Standard-Einstellung). Das BSI empfiehlt mit Stand November 2021 für IKEv2 sogar eine maximale Gültigkeitsdauer von 14.400 Sekunden (4 Stunden).

Bildschirmfoto einer technischen Benutzeroberfläche für die Konfiguration von IPSec-Proposals mit Feldern für Bezeichnung, Verschlüsselungstyp, Schlüssellänge, Authentifizierungsmethode und Gültigkeitsdauer.

2.4 Wechseln Sie in das Menü IPSec-Proposal-Listen.

Ein Bild einer technischen Benutzeroberfläche, die mit Netzwerk-, VPN-Konfigurationen und Sicherheitseinstellungen wie IPSec Proposals, IKE Schlüssel und Identitäten sowie Firewall-Einstellungen gefüllt ist.

2.5 Klicken Sie auf Hinzufügen, um eine neue IPSec-Proposal-Liste zu erstellen.

Anstatt eine neue IPSec-Proposal-Liste zu erstellen, kann auch die Proposal-Liste der anzupassenden VPN-Verbindung bearbeitet werden (in diesem Beispiel IPS-VPN-FILIALE). Stellen Sie in diesem Fall aber unbedingt sicher, dass diese nicht noch von anderen VPN-Verbindungen verwendet wird, da diese ansonsten gegebenenfalls nicht mehr korrekt funktionieren.

Screenshot eines technischen Konfigurationsmenüs mit der Titelüberschrift IPSecProposalListen.

2.6 Passen Sie folgende Parameter an:

  • Bezeichnung: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel FILIALE-PH2-LIST). Die Länge ist auf maximal 17 Zeichen beschränkt.
  • Proposal: Wählen Sie im Dropdownmenü das in Schritt 2.3 erstellte IPSec-Proposal aus.

Screenshot einer technischen Benutzeroberfläche zur Auswahl von IPSec-Verschlüsselungsprotokollen aus einer Liste möglicher Proposals.



3. Zuweisen der angepassten Proposals zu der VPN-Verbindung:

3.1 Wechseln Sie in das Menü Verbindungsparameter.

Bildschirmfoto einer technischen Benutzeroberfläche mit verschiedenen Optionen zur Konfiguration von VPN-Verbindungen, IKE-Proposals, Firewall-Einstellungen und Qualitätskontrolle für Netzwerke.

3.2 Markieren Sie die Verbindungs-Parameter der verwendeten VPN-Verbindung und klicken auf Bearbeiten.

Bildschirmansicht eines technischen Konfigurationsmenüs mit verschiedenen Parametern und Optionen für Netzwerkeinstellungen, einschließlich IKE-Proposals und IPSec-Proposals.

3.3 Wählen Sie im Dropdown-Menü bei IKE-Proposals die in Schritt 1.6 erstellte IKE-Proposal-Liste und bei IPSec-Proposals die in Schritt 2.6 erstellte IPSec-Proposal-Liste aus.

Bildschirmdarstellung einer technischen Benutzeroberfläche mit verschiedenen Parametereinstellungen und Konfigurationsoptionen für Netzwerkgeräte inklusive Felder wie Gens, PFSGruppe MODPv und IKEGruppe MODPOv.

3.4 Die Anpassung der IKE- und IPSec-Lifetimes ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.



4. Neustart der VPN-Verbindung:

Damit die vorgenommenen Änderungen umgesetzt werden, muss die VPN-Verbindung neugestartet werden. 

4.1 Neustart der VPN-Verbindung per LANmonitor:

Markieren Sie die VPN-Verbindung, führen einen Rechtsklick aus und wählen im Kontextmenü die Option Verbindung trennen aus.

Screenshot einer Netzwerkverwaltungsoberfläche, die VPN-Verbindungsstatus anzeigt, einschließlich verbundene Filialen, kein Verbindungsfehler und Details zu entfernten Gateways sowie VPN-Encapsulation und Zertifikaten.


4.2 Neustart der VPN-Verbindung per Konsole:

Geben Sie den Befehl zum Trennen der VPN-Verbindung im folgenden Format ein:

do Other/Manual-Dialing/Disconnect <Name der VPN-Verbindung> 

In diesem Beispiel muss der Befehl also wie folgt lauten: 

do Other/Manual-Dialing/Disconnect VPN-FILIALE

Screenshot einer technischen Benutzeroberfläche, die Schritte zum manuellen Wählen und Trennen einer VPN-Verbindung in einer Filiale zeigt, mit markierter Disconnect-Aktion.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH