Versionen im Vergleich

Alte Version 10

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 11

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften


Beschreibung:
Dieses Dokument beschreibt, wie per LANCOM Smart Certificate erstellte Zertifikate für eine zertifikatsbasierte VPN Client-Verbindung verwenden können.
Hinweis

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.

Info

Die Konfiguration einer zertifikatsbasierten IKEv2-Verbindung zwischen dem Advanced VPN Client und einem LANCOM Router ist in diesem Knowledge Base Artikel beschrieben.


HowTo-Video:
Dieser Knowledgebase-Artikel ist auch als HowTo-Video verfügbar .


Voraussetzungen:


Vorgehensweise:
1. Aktivieren der Zertifizierungsstellen-Funktion im LANCOM Router
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü Zertifikate → Zertifizierungsstelle (CA).
1.2 Haken Sie die Option Zertifizierungsstelle (CA) aktiviert an. Der LANCOM Router soll als Haupt-Zertifizierungsstelle (Root-CA) arbeiten.
Info

Alle anderen Parameter belassen wir in diesem Konfigurationsbeispiel bei den voreingestellten Werten.

Image Removed

Image Added



2. Hochladen des Router-Zertifikats in den LANCOM Router
2.1 Führen Sie einen rechten Mausklick auf den LANCOM Router in LANconfig aus und wählen Sie die Option Konfigurations-Verwaltung → Zertifikat oder Datei hochladen.
Image Removed
Image Added
2.2 Wählen Sie im folgenden Dialog die Zertifikatsdatei für den LANCOM Router aus.
2.3 Im Feld Zertifikattyp müssen Sie einen VPN-Container auswählen.
2.4 Im Feld Zert.-Passwort müssen Sie das Passwort der Zertifikatsdatei eintragen. Klicken Sie dann auf Öffnen,um den Hochladevorgang zu starten.
Image Removed
Image Added


3. Konfigurieren der zertifikatsbasierten VPN Client-Verbindung im LANCOM Router
3.1 Starten Sie den Setup-Asistenten in LANconfig und wählen Sie die Option Einwahl-Zugang bereitstellen (RAS, VPN).
Image Removed
Image Added
3.2 Wählen Sie die Option VPN-Verbindung über das Internet.
Image Removed
Image Added
3.3 Deaktivieren Sie die Option ...1-Click-VPN.
Image Removed
Image Added
3.4 IPSec-over-HTTPS wird in diesem Konfigurationsbeispiel nicht verwendet.
Image Removed
Image Added
3.5 Vergeben Sie einen Namen für die neue VPN-Verbindung.
Image Removed
Image Added
3.6 Im nächsten Dialog müssen Sie die öffentliche Adresse (IP-Adresse oder FQDN) des LANCOM Routers angeben.
Image Removed
Image Added
3.7 Wählen Sie für diese Verbindung die Option Zertifikate (RSA Signature) und Main Mode für die VPN-Verbindungs-Authentifizierung aus.
Image Removed
Image Added
3.8 Im nächsten Dialog müssen Sie die Identitäten der Zertifikate eintragen.
  • Tragen Sie als lokale Identität den Namen des Zertifikats vom LANCOM Router ein.
  • Tragen Sie als entfernte Identität den Namen des Zertifikats vom VPN Client ein.
Image Removed
Image Added
3.9 Geben Sie eine lokale IP-Adresse für den LANCOM Advanced VPN Client ein.
Image Removed
Image Added
3.10 In diesem Beispiel sollen alle lokalen IP-Adressen vom VPN Client erreicht werden können.
Image Removed
Image Added
3.11 NetBIOS wird in diesem Beispiel nicht verwendet.
Image Removed
Image Added
3.12 Geben Sie im nächsten Dialog den Pfad an, unter welchem die VPN-Profildatei (*.ini) gespeichert werden soll.
Image Removed
Image Added
3.13 Klicken Sie auf Fertig stellen, um den Setup Assistenten zu beenden. Die Konfiguration wird in den LANCOM Router zurück geschrieben, die VPN-Profildatei wird erzeugt und im angegebenen Verzeichnis gespeichert.
Image Removed
Image Added


4. Einbinden des VPN Client-Zertifikats in den LANCOM Advanced VPN Client
4.1 Öffnen Sie im LANCOM Advanced VPN Client die Option Konfiguration → Zertifikate.
Image Removed
Image Added
4.2 Erzeugen Sie eine neue Zertifikatskonfiguration mit der Schaltfläche Hinzufügen.
Image Removed
Image Added
4.3 Vergeben Sie einen Namen für die neue Zertifikatskonfiguration.
  • im Feld Zertifikat muss die Option aus PKCS#12-Datei ausgewählt werden
  • im Feld PKCS#12-Datei mus der Pfad zur Zertifikatsdatei für den VPN Client eingestellt werden.
  • zur besseren Sicherheit legen wir in diesem Beispiel fest, dass vor jedem VPN-Verbindungsaufbau das Passwort des VPN Client-Zertifikats eingegeben werden muss.
Image Removed
Image Added


5. Importieren der *.ini-Datei und Konfiguration der VPN-Verbindung im LANCOM Advanced VPN Client
5.1 Öffnen Sie im LANCOM Advanced VPN Client die Option Konfiguration → Profile und klicken Sie auf Hinzufügen/Import.
Image Removed
Image Added
5.2 Wählen Sie die Option Profile importieren.
Image Removed
Image Added
5.3 Stellen Sie den Pfad zur VPN-Profildatei ein, welche im Schritt 3.13 erzeugt wurde.
Image Removed
Image Added
5.4 Klicken Sie auf Fertigstellen, um den Importvorgang abzuschließen.
Image Removed
Image Added
5.5 Wählen Sie das importierte Profil aus und klicken Sie auf Bearbeiten.
Image Removed
Image Added
5.6 Wechseln Sie in das Menü I dentität und deaktivieren Sie die Option Pre-shared Key verwenden.
5.7 Als Zertifikats-Konfiguration müssen Sie die in Schritt 5.3 erstellte Zertifikats-Konfiguration einstellen (hier: Zert).
Image Removed
Image Added
5.8 Die Konfigurationsschritte sind damit abgeschlossen. Schließen Sie die Dialoge des LANCOM Advanced VPN Client mit OK.


6. Funktionsüberprüfung
6.1 Klicken Sie im LANCOM Advanced VPN Client auf die Schaltfläche Verbindung.
6.2 Geben Sie das Passwort ein, welches Sie für das Zertifikat des VPN Client vergeben haben.
Image Removed
Image Added
6.3 Die VPN-Verbindung wird daraufhin aufgebaut und kann genutzt werden.
Image Removed
Image Added