Versionen im Vergleich

Alte Version 4

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 5

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

PageIdMakro

Seiteneigenschaften


Description:

LANCOM Trusted Access (LTA) is the trusted network access security solution for enterprise networks. It enables secure and scalable network access for employees in the office, at home, or on the road, thus protecting modern hybrid working from anywhere at any time.

The LANCOM Trusted Access solution adapts to increasing security requirements in your organization. It supports not only classic full network access as a cloud-managed VPN client, but also the migration to a zero-trust security architecture with comprehensive network security. In the latter case, users receive granular access rights only to those applications that have been assigned to them (zero-trust principle). Existing systems for administering users and user groups (Active Directory) can be fully integrated into the ist die vertrauenswürdige Network Access Security-Lösung für Unternehmensnetzwerke. Es ermöglicht einen sicheren und skalierenden Zugriff auf Unternehmensanwendungen für Mitarbeitende im Büro, zuhause oder unterwegs und schützt damit modernes hybrides Arbeiten von überall und jederzeit.Die LANCOM Trusted Access-Lösung passt sich an steigende Sicherheitsanforderungen in Ihrer Organisation an und ermöglicht sowohl Cloud-managed VPN-Client-Vernetzung für den Zugriff auf ganze Netze als auch den Umstieg auf eine Zero-Trust-Sicherheitsarchitektur für eine umfassende Netzwerksicherheit. Dabei erhalten Benutzer auf Basis granularer Zugriffsrechte ausschließlich Zugangsberechtigung auf Anwendungen, die ihnen zugewiesen wurden (Zero-Trust-Prinzip). Bestehende Systeme zur Verwaltung von Benutzern und Benutzergruppen (Active Directory) lassen sich vollständig in die LANCOM Management Cloud (LMC) integrieren. Für kleinere Netzwerke bietet die LMC alternativ eine interne Benutzerverwaltung.. For smaller networks, the LMC alternatively offers internal user administration.

This article describes how the LMC is used to configure the LTA client operating external user administration with In diesem Artikel wird beschrieben wie der LTA-Client in der LMC unter Verwendung der externen Benutzerverwaltung mit Microsoft Entra ID (ehemals formerly Azure AD) konfiguriert werden kann.


Requirements:

Info

The DynDNS service integrated in the LMC unfortunately does not support a “TXT Resource Record” and therefore cannot be used

Info

Der in der LMC integrierte DynDNS-Dienst unterstützt keinen "TXT Resource Record" und kann daher leider nicht verwendet werden.

Procedure:

1. Initiale Konfigurations-Schritte in der ) Initial configuration steps in the LMC:

1.1 Aktivierung der VPN-Funktionalität) Activate the VPN function:

1.1.1 Wechseln Sie in der LMC in das Menü Networks und klicken auf das Netzwerk, in das sich der LTA-Client einbuchen soll (in diesem Beispiel ) In the LMC, go to the Networks menu and click the network that the LTA client should log in to (in this example INTRANET).

1.1.2 Klicken Sie in der Overview auf ) In the Overview , click Edit network.

1.1.3 Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Save:

  • Link devices via secure connection (VPN): Setzen Sie den Haken, um die VPN-Funktionalität zu aktivierenSet a checkmark to enable the VPN functionality.
  • Central-site IP addresses or DNS names: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein. Diese muss angegeben werden, sobald die VPN-Funktionalität aktiviert wirdEnter the public IP address or public DNS name of the router. This must be specified as soon as the VPN function is activated.


1.2) Activate LTA-Funktion aktivieren:

1.2.1 Wechseln Sie im Menü Security in den Reiter ) In the Security  menu, go to the LANCOM Trusted Access und klicken bei tab and click the Activate LTAauf den Schieberegler slider.

1.2.2 Klicken Sie auf ) Click Activate.


1.3) Client -Konfigurationconfiguration:In der

Client configuration werden grundlegende Parameter wie die Adresse des LTA-Gateways hinterlegt. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werdenThe Client configuration is used to store basic parameters such as the address of the LTA gateway. These settings apply globally and cannot be configured for individual users.

1.3.1 Wechseln Sie in den Reiter Client configuration und passen die folgenden Parameter an) Go to the Client configuration tab and modify the following parameters:

  • Accessible network: Wählen Sie im Dropdown-Menü das in Schritt 1.1 bearbeite Netzwerk aus, in das sich der LTA-Client einbuchen soll (in diesem Beispiel From the drop-down menu, select the network edited in step 1.1 that the LTA client should log in to (in this example INTRANET).
  • Gateway IP or domain: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein, unter der/dem der LTA-Client den Router erreichen kann (in diesem Beispiel Enter the public IP address or DNS name of the router where the LTA client can reach the router (in this example 81.81.81.81).
  • Trusted Access Client IP network: Geben Sie die Netzadresse eines Netzwerks Enter the network address of a network in CIDR-Schreibweise (Classless Inter Domain Routing) an. Aus diesem Netzwerk wird dem LTA-Client eine IP-Adresse zugewiesen (in diesem Beispiel notation. The LTA client is assigned an IP address from this network (in this example 10.0.0.0/8). In den meisten Fällen wird dazu das Accessible network verwendet werden, es ist aber auch möglich, ein anderes Netzwerk anzugebenmost cases the Accessible network is used for this, but it is also possible to specify a different network.
  • Tunneled domains for DNS resolution: Tragen Sie Domains ein, die immer über den VPN-Tunnel übertragen werden sollen (in diesem Beispiel Enter Domains which should always be transmitted via the VPN tunnel (in this example *.intern).
Info

Für die Getunnelten Domains für DNS-Auflösung kann die Wildcard * verwendet werden. Diese steht für beliebig viele Zeichen. Mehrere Einträge können durch ein Komma separiert werdenThe * wildcard can be used for the tunneled domains for DNS resolution. This represents any number of characters. Multiple entries can be separated by a comma.

1.3.2 Passen Sie bei Bedarf die folgenden Parameter an) Modify the following parameters if required:

  • Allow AVC mode in LTA client: Wird diese Option aktiviert, kann der Benutzer zwischen LTA-Client und dem Advanced VPN Client umschalten. Dies ist z.B. sinnvoll, wenn neben dem LTA-Zugang in die Firma zusätzliche VPN-Verbindungen zu Kunden bestehenIf this option is enabled, the user can switch between the LTA client and the Advanced VPN client. This can be helpful, for example, if there are VPN connections to customers in addition to the LTA access to the company.
  • Enable LTA client self-sustaining continued operation: Wird der autarke Weiterbetrieb aktiviert, kann für den angegebenen Zeitraum eine VPN-Verbindung mit dem LTA-Client aufgebaut werden, auch wenn die LMC nicht erreichbar istIf standalone continued operation is enabled, the LTA client is able to establish a VPN connection for the specified period of time, even if the LMC cannot be reached.

1.3.3 Wählen Sie bei ) Under Split Tunnel die Option , select the option Only network traffic to configured networks through tunnel (Split Tunnel) aus und klicken auf das "Plus-Zeichen", um die Ziel-Netzwerke anzugeben and click the “+” icon to specify the target networks.

Info

Wird die Option If the option All network traffic through tunnel oder bei der Option tunnel is enabled, or if there is no target network configured for the option Only network traffic to configured networks through tunnel (Split Tunnel) kein Ziel-Netzwerk hinterlegt, wird jeglicher Datenverkehr über den VPN-Tunnel übertragen. Dies führt dazu, dass lokale Ressourcen im Netzwerk des Benutzers bei aufgebautem VPN-Tunnel nicht erreicht werden können. Zudem kann es zu einer langsameren Übetragung des Internet-Datenverkehrs kommen, da dieser über das LTA-Gateway übertragen wird, then all data traffic is transmitted via the VPN tunnel. This means that local resources in the user's network cannot be reached while a VPN tunnel is established. It may also result in slower transmission of Internet data traffic, as this is all transmitted via the LTA gateway.

1.3.4 Tragen Sie die Ziel-Netzwerke in CIDR-Schreibweise ein und klicken auf ) Enter the target network in CIDR notation and click Save.


1.4) Endpoint Security (optional):

Optional kann die Endpoint Security aktiviert werden. Der LTA-Client prüft dann, ob die vorgegebenen Parameter erfüllt sind und baut nur dann die VPN-Verbindung auf. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden can optionally be activated. The LTA client then checks whether the specified parameters are met and only then will the VPN connection be established. These settings apply globally and cannot be configured for individual users.

1.4.1 Wechseln Sie in den Reiter ) Go to the Endpoint Security , passen die folgenden Parameter an und klicken auf Speicherntab, adjust the following parameters and click Save:

  • Enable endpoint verfication: Aktivieren Sie die Option über den Schiebereglerverification: Enable the option with the slider.
  • Allowed OS: Wählen Sie bei Bedarf die erlaubten Betriebssysteme sowie die minimalen und maximalen Build-Versionen aus (in diesem Beispiel wird Windows 10 bzw. Windows 11 vorausgesetztIf required, select the permitted operating systems as well as the minimum and maximum build versions (in this example, Windows 10 or Windows 11 is assumed).
  • Anti-Virus: Aktivieren Sie bei Bedarf die Prüfung der Antivirus-Funktion auf dem Computer des Benutzers (in diesem Beispiel wird die Option If necessary, enable the anti-virus function check on the user's computer (in this example the option used is enabled and up-to-date verwendet).
  • Firewall: Aktivieren Sie bei Bedarf die Prüfung der Firewall-Funkion auf dem Computer des Benutzers (in diesem Beispiel wird die Option enabled verwendet und somit geprüft, ob eine Firewall aktiv istIf necessary, enable the firewall function check on the user's computer (in this example the option used is enabled, which checks whether a firewall is active).


1.5 Benutzerverwaltung) User administration:

In der User administration wird die eigene Domäne hinterlegt. Benutzer können - sofern vorhanden - über ein Active Directory angebunden oder in der LMC konfiguriert werdenThe User administration is where you enter your own domain. Users can be connected to an Active Directory, if available, or they can be configured in the LMC.

1.5.1 Wechseln Sie in den Reiter User administration und aktivieren die Option ) Go to the User administration tab and enable the option IdP-managed.

1.5.2 Passen Sie die folgenden Parameter an) Modify the following parameters:

  • Name: Vergeben Sie einen aussagekräftigen Namen für den Identity Provider Eintrag in der Enter a descriptive name for the identity provider as entered into the LMC.
  • Domains: Tragen Sie bei Domains die von Ihnen verwendete Domäne ein (in diesem Beispiel Use the Domains field to enter the domain you are using (in this example mydomain.com).
Info

Die Konfiguration kann an dieser Stelle noch nicht gespeichert werden, da hierfür noch die IdP Metadata URL hinterlegt werden muss. Diese wird in Schritt The configuration is not yet complete as the IdP metadata URL still has to be entered. This is read out from Entra ID in step 2.2.8 in Entra ID ausgelesen und in Schritt and stored in the LMC in step 3.1.1 in der LMC eingetragen.

1.5.3 Klicken Sie auf ) Click Finalize Setup.

1.5.4 Kopieren Sie die folgenden Parameter und speichern diese in einer Text-Datei ab:) Copy the following parameters and save them in a text file.

  • TXT resource record: Tragen Sie diesen bei Ihrem DynDNS-Anbieter für die Domäne als TXT Resource Record einEnter this as the TXT resource record into your DynDNS provider for the domain.
  • LMC Entity URL: Tragen Sie diesen in Schritt Enter this into Entra ID as the Identifier (Entity ID) in step 2.2.4 als Identifier (Entity ID) in Entra ID ein.
  • Reply URL: Tragen Sie diese in Schritt 2.2.4 als  Enter this into Entra ID as the Reply URL (Assertion Consumer Service URL) in Entra ID ein in step 2.2.4.



2. Konfigurationsschritte ) Configuration in Microsoft Entra ID:

2.1 Eigene Anwendung erstellen) Create your own application:

2.1.1 Öffnen Sie die Konfigurationsoberfläche von Entra ID und wechseln in das Menü Enterprise applications) Open the configuration menu in Entra ID and go to the Enterprise applications menu.

2.1.2 Wählen Sie die unter Manage die Option All applications aus und klicken auf ) Under Manage, select the option All applications and click New application.

2.1.3 Klicken Sie auf ) Click Create your own application.

2.1.4 Passen Seie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Create:

  • What's the name of your app?: Vergeben Sie einen aussagekräftigen Namen für die App (in diesem Beispiel Enter a descriptive name for the app (in this example LTA-App).
  • What are you looking to do with your application?: Wählen Sie die Option Select the option Integrate any other application you don't find in the gallery (Non-gallery) aus.


2.2 Single Sign on einrichten) Set up single sign-on:

2.2.1 Klicken Sie in der soeben erstellten App auf ) In the app you just created, click 2. Set up single sign on.

2.2.2 Wählen Sie die Option SAML aus) Select the option SAML.

2.2.3 Klicken Sie in dem Feld Basic SAML Configuration auf ) In the field Basic SAML Configuration, click Edit.

2.2.4 Tragen Sie die in Schritt ) Enter the parameters copied in step 1.5.4 kopierten Parameter ein und klicken auf Save: and click Save.

  • Identifier (Entity ID): Tragen Sie die Enter the LMC Entity URL ein.
  • Reply URL (Assertion Consumer Service URL): Tragen Sie die Enter the Reply URL ein.

2.2.5 Klicken Sie in dem Feld ) In the field Attributes & Claims auf , click Edit.

2.2.6 Klicken Sie auf ) Click Add a group claim.

2.2.7 Wählen Sie die Option All groups aus und klicken auf ) Select the option All groups and click Save.

2.2.8 Kopieren Sie in dem Feld SAML Certificates die ) In the SAML Certificates field, copy the App Federation Metadata Url und speichern diese in einer Text-Datei ab. Diese wird in Schritt and save it in a text file. This is stored in the LMC as the IdP Metadata URL in step 3.1.1 als IdP Metadata URL in der LMC hinterlegt.


2.3 Registrierung der Applikation) Application registration:

2.3.1 Wechseln Sie in das Menü ) Go to the menu App registrations.

2.3.2 Klicken Sie in dem Reiter All applications auf die in Schritt ) On the All applications tab, click the app created in step 2.1.4 erstellte App.

2.3.3 Klicken Sie auf ) Click Add a certificate or secret.

2.3.4 Klicken Sie auf ) Click New client secret.

2.3.5 Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Add:

  • Description: Vergeben Sie einen aussagekräftigen Namen für das Anwendungskennwort (in diesem Beispiel Enter a descriptive name for the application password (in this example LTA-Secret).
  • Expires: Wählen Sie eine möglichst hohe Gültigkeitsdauer aus (in diesem Beispiel 24 MonateSelect a suitably long validity period (in this example 24 months). 
Info

Nach Ablauf der Gültigkeit ist ein Abgleich der Active Directory Benutzer mit der LMC nicht mehr möglich. Dann muss ein neues secret erstellt und dieses in der LMC hinterlegt werdenAfter the validity expires, there is no further synchronization of Active Directory users with the LMC. Then a new secret must be created and stored in the LMC.

2.3.6 Kopieren Sie das Anwendungskennwort unter Value und speichern dieses in einer Text-Datei ab) Copy the application password from the Value field and save it in a text file.

Hinweis

Das Anwendungskennwort muss zwingend in diesem Schritt kopiert werden. Zu einem späteren Zeitpunkt wird das Kennwort unkenntlich gemacht. In diesem Fall muss das Kennwort gelöscht und neu erstellt werdenThe application password  must be copied in this step. The password will subsequently be obfuscated. In case of problems, the password must be deleted and a new one created.


2.4 Kopieren der Anwendungs-ID und der Verzeichnis-ID:Wechseln Sie in der App in die Übersicht. Kopieren Sie die beiden folgenden Parameter und speichern diese in einer Text-Datei ab) Copy application ID and directory ID:

In the app, go to the Overview. Copy the following two parameters and save them in a text file:

  • Application (client) ID: Diese wird in Schritt 3.1.2 als  This is entered as the Application-ID (Client-ID) eingetragenin step 3.1.2.
  • Directory (tenant) ID: Diese wird in Schritt 3.1.2 als This is entered as the Directory-ID (Tenant-ID) eingetragen in step 3.1.2.


2.5) API -Berechtigungenpermissions:

2.5.1 Wechseln Sie in das Menü API permissions und klicken auf ) Go to the menu API permissions and click Add a permission.

2.5.2 Wählen Sie im Reiter Microsoft APIs die Option Microsoft Graph aus) On the Microsoft APIs tab, select the option Microsoft Graph.

2.5.3 Wählen Sie die Option Application permissions aus) Select the option Application permissions.

2.5.4 Wählen Sie die Berechtigung ) Select the permissions Group.Read.All aus und klicken auf and then click Add permissions

Info

Durch Eingabe des Strings You can find the authorization directly by entering the string Group.Read. in der Suche ist die Berechtigung direkt zu finden into the search box.

2.5.5 Klicken Sie auf ) Click Grant admin consent for <Active-Directory>.

2.5.6 Bestätigen Sie die Abfrage mit einem Klick auf ) Confirm the prompt by clicking Yes.



3. Weiterführende Konfigurationsschritte in der ) Further configuration steps in the LMC:

3.1 Abschließende Konfiguration der Benutzerverwaltung) Configuration of user administration:

3.1.1 Wechseln Sie erneut in die LTA-Benutzerverwaltung in der LMC und tragen im Feld IdP Metadata URL die in Schritt ) Go back to the LTA user administration in the LMC and fill out the field IdP Metadata URL with the App Federation Metadata Url copied in step 2.2.8 kopierte App Federation Metadata Urlein.

3.1.2 Tragen Sie unter ) Enter the following parameters under IdP credential to sync with AD die folgenden Parameter ein:

  • Application-ID (Client-ID): Tragen Sie die in Schritt 2.4 kopierte  Enter the Application (client) IDein copied in step 2.4.
  • Client Secret: Tragen Sie das in Schritt Enter the application password copied in step 2.3. 6 kopierte Anwendungskennwort ein.
  • Directory-ID (Tenant-ID): Tragen Sie die in Schritt 2.4 kopierte Enter the Directory (tenant) IDein copied in step 2.4.

3.1.3 Wählen Sie nach der Synchronisierung mit ) After synchronizing with Microsoft Entra ID die Primärgruppe aus, welche zur Freigabe von LTA verwendet werden soll und aktivieren für diese Gruppe das Berechtigungsprofil. Klicken Sie anschließend auf , select the primary group that should be used to enable LTA and activate the authorization profile for this group. Then click Save

Info

Für jeden Benutzer in dieser Gruppe wird eine LTA-Lizenz benötigtAn LTA license is required for every user in this group.


3.2 Verbindungsziele) Connection targets:

In den Connection targets werden Ressourcen angelegt, welche den Benutzern zugewiesen werden können (siehe Schritt The Connection targets menu is used to create resources that can be assigned to the users (see step 3.3).

3.2.1 Wechseln Sie in den Reiter Connection targets und klicken auf ) Go to the Connection targets tab and click Add connection target.

3.2.2 Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Save:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Verbindungsziel (in diesem Beispiel Enter a descriptive name for the connection target (in this example Web-Server).
  • Hostname / IPv4 address / CIDR notation: Tragen Sie einen DNS-Namen oder die IP-Adresse eines Verbindungsziels ein (in diesem Beispiel Enter a DNS name or the IP address of the connection target (in this example 10.0.0.250). Alternativ können Sie auch den Zugriff auf ein ganzes Netzwerk freigeben, indem Sie die Netz-Adresse in CIDR-Schreibweise angeben (z.BAlternatively, you can provide access to an entire network by entering the network address in CIDR notation (e.g. 10.0.0.0/8).
  • Protocol: Wählen Sie das Protokoll für die Kommunikation aus (in diesem Beispiel Select the communications protocol(in this example TCP).
    • Die folgenden Protokolle stehen zur VerfügungThe following protocols are available:
      • TCP
      • UDP
      • ICMP
      • AH
      • ESP
      • GRE
      • TCP+UDP
      • Alle ProtokolleAll protocols
    • Port:
    Tragen Sie die Ports für die Kommunikation ein (in diesem Beispiel 443 und 80). Mehrere Ports können durch ein Komma separiert werden (z.B. 443,80). Port-Bereiche können durch einen Bindestrich hinterlegt werden (z.B
    • Enter the ports for the communications (in this example 80 and 443). Multiple ports can be separated by a comma (e.g. 80,443). Port ranges can be entered with a hyphen (e.g. 5060-5061).


3.3 Berechtigungsprofile) Authorization profiles:In

den Authorization profiles werden die Benutzer mit den Verbindungszielen verknüpft. Dabei ist es möglich unterschiedlichen Benutzern individuelle Verbindungsziele zuzuweisen. Die LMC erstellt anhand der vorgenommenen Einstellungen automatisch Firewall-Regeln, welche die Kommunikation zu den Verbindungszielen erlaubtThe Authorization profiles are used to link users to the connection targets. Different users can be assigned to individual connection targets. The LMC uses these settings as a basis to automatically create firewall rules that allow communication to the connection targets.

3.3.1 Wechseln Sie in den Reiter Authorization profiles und klicken auf Add authorization profile hinzufügen) Go to the Authorization profiles tab and click Add authorization profile.

3.3.2 Aktivieren Sie das Authorization profile über den Schieberegler und passen die folgenden Parameter an) Enable the authorization profile using the slider and adjust the following parameters:

  • Profile name: Vergeben Sie einen aussagekräftigen Namen für das Profil (in diesem Beispiel Enter a descriptive name for the profile (in this example Admin).
  • Users / Groups: Wählen Sie im Dropdownmenü eine Gruppe aus dem Active Directory aus (in diesem Beispiel admin). Sie können auch mehrere Benutzer auswählen und diesen die gleichen Berechtigungen zuweisenFrom the drop-down menu, select a Group from the Active Directory (in this example admin). You can optionally select multiple users and assign them the same permissions.

3.3.3 Aktivieren Sie unter Status die gewünschten Verbindungsziele für den Benutzer (siehe Schritt ) Under Status enable the necessary connection targets for the user (see step 3.2.2) und klicken auf and click Create.



4. Konfigurations-Schritte im LTA-Client) Configuration steps in the LTA client:

4.1 Klicken Sie im LTA-Client auf Settings und wählen die Option LMC Domain aus) In the LTA client, click Settings and select the option LMC Domain.

4.2 Passen Sie die folgenden Parmeter an) Change the following parameters:

  • URL: Tragen Sie die URL cloud.Enter the URL lancom.de ein.
  • Domain: Tragen Sie die E-Mail Domäne ein, welche Sie in Schritt Enter the e-mail domain that you stored in the LMC in step 1.5.1 in der LMC hinterlegt haben (in diesem Beispiel this example mydomain.com).