Seitenhistorie

Dieses Dokument bescheibt, wie Sie eine Netzkopplung per IKEv2 Client-To-Site VPN-Verbindung zwischen einem Smartphone oder Tablet-PC mit Android Betriebssystem und einem LANCOM Router einrichten können.


Voraussetzungen:

• LCOS ab Version 9.20 (download aktuelle Version)
• LANtools ab Version 9.20 (download aktuelle Version)
• Mobiles Endgerät (Smartphone, Tablet-PC, etc.) mit Android Betriebssystem ab Version 5.x
  
  Info:
  Die Verfügbarkeit von IKEv2 in Android-Versionen ist abhängig vom Hersteller Ihres mobilen Endgerätes. So bietet z.B. der Hersteller Samsung IKEv2 in vielen Android-Distributionen seiner Endgeräte an, andere Hersteller verzichten darauf.
  
  Sollte in Ihrer Andoid-Distribution IKEv2 nicht verfügbar sein, müssen Sie eine entsprechende App verwenden (z.B. NCP VPN Client für Android in der kostenpflichtigen Premium Version oder StrongSwan).

Szenario:

• Ein Unternehmen möchte seinen Aussendienst-Mitarbeitern den Zugriff auf das Firmennetzwerk per IKEv2 Client-To-Site Verbindung ermöglichen.
• Die Mitarbeiter sollen die VPN-Verbindung mit mobilen Endgeräten (Smartphone, Tablet-PC, etc.) herstellen können, auf welchen ein Android Betriebssystem installiert ist.
• Die Firmenzentrale verfügt über einen LANCOM Router als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
• Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24.

Vorgehensweise:

• Name:

• Geben Sie

• den Namen für die Authentifizierung

•  ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.8).
• Lokale Authentifizierung:

• Wählen Sie

• den Typ der Authentifizierung im Router der Zentrale

•  aus. In diesem Beispiel wird die Authentifizierung über

• einen Pre-shared Key (PSK)

•  vorgenommen.
• Lokaler Identitätstyp:

• Wählen Sie

• als Typ der

• Identität des Routers in der Zentrale den

• Parameter Key-ID (Gruppenname)

•  aus.
• Lokale Identität:

• Bestimmen Sie die lokale Identität. In diesem Beispiel wird für

• den LANCOM Router in der Zentrale

die

• die lokale Identität "zentrale"

• verwendet.
• Lokales Passwort:

• Vergeben Sie

• den Pre-shared Key

• , welcher verwendet werden soll um sich beim Android-Endgerät erfolgreich zu authentifizieren.

•  Da in der späteren Konfiguration von Android (siehe Punkt 2.4) nur ein Pre-shared Key angegeben werden kann, müssen das lokale Passwort und das entfernte Passwort gleich sein.
• Entfernte Authentifizierung:

• Wählen Sie

• den Authentifizierungstypen

• des Android-Endgerätes aus. In diesem Beispiel wird die Authentifizierung über

• einen Pre-shared Key (PSK)

•  vorgenommen.
• Entfernter Identitätstyp:

• Wählen Sie

• als Typ der Identität

• des Android-Endgeräts den

• Parameter Key-ID (Gruppenname)

• aus.
• Entfernte Identität:

• Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für

• das Android-Endgerät

• die entfernte Identität "mitarbeiter"

• verwendet.
• Entferntes Passwort:

• Vergeben Sie

• den Pre-shared Key

• , welcher verwendet werden soll um sich gegenüber dem LANCOM Router in der Zentrale erfolgreich zu authentifizieren.

•  Da in der späteren Konfiguration von Android (siehe Punkt 2.4) nur ein Pre-shared Key angegeben werden kann, müssen das lokale Passwort und das entfernte Passwort gleich sein.
• Entfernter Zert.-ID Check:

• Diese Funktion wird nicht benötigt, daher müssen

• Sie Nein

• auswählen.

Image Modified

1.6 Wechseln Sie in das Menü VPN → IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.

1.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:
Name der Verbindung:

Geben Sie die Bezeichnung für die VPN-Verbindung an.

Haltezeit:

Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut.

Authentifizierung:

Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 1.5 festgelegt haben.

IKE-CFG:

Hier muss der Parameter

Server

eingestellt werden.

IPv4-Adress-Pool:

Hier müssen Sie einen

Bereich lokaler IP-Adressen definieren, aus welchem eingewählten VPN-Clients eine IP-Adresse zugewiesen wird

. Wenn Sie noch keinen Adress-Pool eingerichtet haben, klicken Sie auf die Schaltfläche

Wählen

und im nächsten Dialog auf den Link

Quelle verwalten...

 

Info:Bei IKEv2-Verbindungen muss der IPv4-Adress-Pool zwingend in diesem Dialog eingerichtet werden. Die Nutzung der Adress-Pools in den Dialogen Kommunikation -> Gegenstellen -> WAN-Tag-Tabelle bzw. IPv4 -> Adressen hat bei IKEv2-Verbindungen keine Wirkung, diese werden nur für IKEv1-Verbindungen verwendet.  Legen Sie im folgenden Dialog einen IPv4-Adress Pool an. 
Regelerzeugung:

Die

Regelerzeugung muss manuell durchgeführt

werden.

IPv4-Regeln:

Hier müssen Sie den Parameter

RAS-WITH-CONFIG-PAYLOAD

einstellen.

2.4 Im nächsten Dialog müssen Sie folgende Einstellungen vornehmen:

• Im Feld Name müssen Sie eine Namensbezeichnung für das neue VPN-Profil eintragen. Es kann ein beliebiger Name verwendet werden.
• Im Auswählfeld Typ muss IPSec IKEv2 PSK eingestellt werden.
• Im Feld Server-Adresse müssen Sie die öffentliche IP-Adresse oder die öffentliche DNS-Adresse des LANCOM Routers eintragen.
• Geben Sie im Feld IPSec Identifier die Bezeichnung der entfernten Identität an, welchen Sie bei der Konfiguration des LANCOM Routers im Schritt 1.5 vergeben haben. In diesem Beispiel ist das der Name mitarbeiter.
• Im Feld IPSec Pre-shared Key muss der Pre-shared Key eingetragen werden, welchen Sie bei der Konfiguration des LANCOM Routers im Schritt 1.5 vergeben haben.