Versionen im Vergleich

Alte Version 7

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 8

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.


Seiteneigenschaften




Beschreibung:
Dieses Dokument
bescheibt
beschreibt, wie Sie eine Netzkopplung per IKEv2 Client-To-Site VPN-Verbindung zwischen dem LANCOM Advanced VPN Client und einem LANCOM Router einrichten können.

Voraussetzungen:

Szenario:
  • Ein Unternehmen möchte seinen Aussendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
  • Dazu ist auf den Notebooks der Aussendienst-Mitarbeiter der LANCOM Advanced VPN Client installiert.
  • Die Firmenzentrale verfügt über einen LANCOM Router als Gateway und eine Internetverbindung mit der festen öffentlichen IP-
Adresse
  • Adresse 81.81.81.81.
  • Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.
Image Removed
Image Added

Vorgehensweise:
1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN
-> Allgemein
→ Allgemein.
1.2 Aktivieren Sie die Funktion Virtual Private Network.
Image Removed
Image Added
1.3 Wechseln Sie in das Menü VPN
> IKEv2
→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.
Image Removed
Image Added
1.4 Klicken Sie auf die Schaltfläche Hinzufügenum einen neuen Eintrag zu erzeugen.
1.5 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein.
Name:
      Geben Sie den
Namen für die Authentifizierung
      ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.8).


Lokale Authentifizierung:
      Wählen Sie den
Typ der Authentifizierung im Router der Zentrale
      aus. In diesem Beispiel wird die Authentifizierung über einen
Pre-shared Key (PSK)
      vorgenommen.


Lokales Passwort:
      Vergeben Sie den
Pre-shared Key
      , welcher verwendet werden soll um sich beim Router in der Zentrale erfolgreich zu authentifizieren.


Entfernte Authentifizierung:
      Wählen Sie den
Authentifizierungstypen des LANCOM LANCOM Advanced VPN Client
      aus. In diesem Beispiel wird die Authentifizierung über einen
Pre-shared Key (PSK)
      vorgenommen.


Entfernter Identitätstyp:
      Wählen Sie den
Typ der Identität
      des LANCOM Advanced VPN Client aus. In diesem Beispiel wurde der Identitätstyp
E-Mail-Adresse (FQUN)
      gewählt.


Entfernte Identität:
      Tragen Sie
die gleiche entfernte Identität ein, wie im Feld lokale Identität
      . In diesem Beispiel wird die
Identität mitarbeiter@firma.de
      verwendet.


Entferntes Passwort:
      Vergeben Sie den
Pre-shared Key
      , welcher verwendet werden soll um sich gegenüber dem LANCOM Advanced VPN Client erfolgreich zu authentifizieren.
Image Removed


Image Added
1.6 Wechseln Sie in das Menü VPN
> IKEv2
→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.
1.7 Klicken Sie auf die Schaltfläche Hinzufügen um einen neuen Eintrag zu erzeugen.
Image Removed
Image Added
1.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:
Name der Verbindung:
      Geben Sie die Bezeichnung für die VPN-Verbindung an.


Haltezeit:
      Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut.


Authentifizierung:
      Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 1.5 festgelegt haben.


IKE-CFG:
      Hier muss der Parameter
Server
      eingestellt werden.


IPv4-Adress-Pool:
      Hier müssen Sie einen
Bereich lokaler IP-Adressen definieren, aus welchem eingewählten VPN-Clients eine IP-Adresse zugewiesen wird
      . Wenn Sie noch keinen Adress-Pool eingerichtet haben, klicken Sie auf die Schaltfläche
Wählen
      und im nächsten Dialog auf den Link
Quelle verwalten...
Info:
        Bei
IKEv2-Verbindungen muss der IPv4-Adress-Pool zwingend in diesem Dialog eingerichtet werden.
        Die Nutzung der Adress-Pools in den Dialogen
Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle
        bzw.
IPv4 -> Adressen
        hat bei IKEv2-Verbindungen keine Wirkung, diese werden nur für IKEv1-Verbindungen verwendet.

      Legen Sie im folgenden Dialog einen IPv4-Adress Pool an.
Image Removed

Image Added

Regelerzeugung:
      Die
Regelerzeugung muss manuell durchgeführt
      werden.
Image Removed


Image Added

IPv4-Regeln:
      Hier müssen Sie den Parameter
RAS-WITH-CONFIG-PAYLOAD
    einstellen.

1.9 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.

2. Manuelle Einrichtung des VPN-Verbindungsprofils im LANCOM Advanced VPN Client:
2.1 Öffnen Sie den LANCOM Advanced VPN Client und wechseln Sie in das Menü Konfiguration
-> Profile
→ Profile.
2.2 Klicken Sie dann auf die Schaltfläche Hinzufügen/Import.
Image Removed
Image Added
2.3 Wählen Sie die Option Verbindung zum Firmennetzwerk über IPsec.
Image Removed
Image Added
2.4 Vergeben Sie einen Namen für die VPN-Verbindung.
Image Removed
Image Added
2.5 Im nächsten Dialog müssen Sie das Verbindungsmedium einstellen. In diesem Beispiel wird LAN (over IP) verwendet.
Image Removed
Image Added
2.6 Geben Sie die öffentliche IP-Adresse oder den DNS-Namen des Tunnel-Endpunktes an. In diesem Beispiel wird die Adresse 81.81.81.81 verwendet.
Image Removed
Image Added
2.7 Als Austausch-Modus muss IKEv2 eingestellt werden.
2.8 Da in diesem Beispiel in der Konfiguration des LANCOM Routers die Standard-Verschlüsselungsparameter verwendet werden (siehe Menü VPN
-> IKEv2
→ IKEv2/IPSec
-> Verschlüsselung
→ Verschlüsselung), muss als PFS-Gruppe der Wert DH-Gruppe 14 (2048 Bit) eingestellt werden.
Image Removed
Image Added
2.9 Als Lokale-Identität müssen Sie Fully Qualified Username einstellen und im darunter liegenden Feld die ID eingeben, welche Sie im Schritt 1.5 als entfernte Identität konfiguriert haben (hier: mitarbeiter@firma.de).
2.10 Tragen Sie den gleichen Pre-shared Key ein, welchen Sie im Schritt 1.5 als entferntes Passwort konfiguriert haben.
Image Removed
Image Added
2.11 Stellen Sie als Wert für die IP-Adressen-Zuweisung IKE Config Mode verwenden ein.
Image Removed
Image Added
2.12 Bei Bedarf können Sie im nächsten Dialog die entfernten Netzwerke eintragen, welche über die VPN-Verbindung erreicht werden sollen.
Info:
      Wenn Sie hier nichts eintragen, werden alle Daten ausschließlich über den sicheren VPN-Tunnel gesendet. Dieses bietet sich besonders an, wenn Sie über einen WLAN-Hotspot verbunden sind. Informationen erhalten Sie in folgendem KnowledgeBase-Artikel
Image Removed
Image Removed
Image Added
2.13 Klicken Sie auf Fertigstellen, um die Konfiguration des VPN-Verbindungsprofils abzuschließen.
2.14 Mit einem Klick auf den Verbindungs-Schalter können Sie die Verbindung zum Firmennetzwerk herstellen.
Image Removed
#Image Added