Versionen im Vergleich

Alte Version 7

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 8

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.


Seiteneigenschaften




Beschreibung:
Dieses Dokument bescheibt, wie Sie eine IPv6-Netzkopplung per IKEv2 Site-To-Site VPN-Verbindung zwischen zwei LANCOM Routern einrichten können.


Voraussetzungen:


Szenario:
  • Ein Unternehmen möchte die lokalen IPv6-Netzwerke in der Zentrale und einer Filiale über eine IKEv2 Site-To-Site VPN-Verbindung miteinander koppeln.
  • Beide Standorte verfügen über einen LANCOM Router als Gateway und eine IPv6-Internetverbindung mit einer öffentlichen IPv6-Adresse. Die öffentliche IPv6-Adresse der Zentrale lautet fd00::a, die der Filiale fd00::b.
  • Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
  • Das lokale IPv6-Netzwerk der Zentrale hat den IP-Adressbereich 2001:db8:a::/64, in der Filiale wid der lokale IPv6-Adressbereich 2001:db8:b::/64 verwendet.
Image Removed
Image Added

Vorgehensweise:
1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN
->
Allgemein.
1.2 Aktivieren Sie die Funktion Virtual Private Network.
Image Removed
Image Added
1.3 Wechseln Sie in das Menü VPN
>
IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.
Image Removed
Image Added
1.4 Klicken Sie auf die Schaltfläche Hinzufügen um einen neuen Eintrag zu erzeugen.
1.5 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein.
  • Name:
    Geben Sie den Namen für die Authentifizierung ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.8).
  • Lokale Authentifizierung:
    Wählen Sie den Typ der Authentifizierung im Router der Zentrale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Lokaler Identitätstyp:
    Wählen Sie den Typ der Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Lokale Identität:
    Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die lokale Identität zentrale@test.de verwendet.
  • Lokales Passwort:
    Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Zentrale erfolgreich zu authentifizieren.
  • Entfernte Authentifizierung:
    Wählen Sie den Authentifizierungstypen des LANCOM Routers in der Filiale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Entfernter Identitätstyp:
    Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Entfernte Identität:
    Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die entfernte Identität filiale@test.de verwendet.
  • Entferntes Passwort:
    Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Filiale erfolgreich zu authentifizieren.
Image Removed

Image Added

1.6 Wechseln Sie in das Menü VPN
>
IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.
1.7 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.
Image Removed
Image Added
1.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:
  • Name der Verbindung:
    Geben Sie die Bezeichnung für die VPN-Verbindung an. Dieser Eintrag wird später in der Routing-Tabelle genutzt (siehe Schritt 1.10).
  • Haltezeit:
    Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut.
  • Entferntes Gateway:
    Geben Sie die öffentliche IPv6-Adresse an, unter der LANCOM Router in der Filiale erreichbar ist. In diesem Beispiel ist das die Adresse fd00::b.
  • Authentifizierung:
    Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 1.5 festgelegt haben.
  • Regelerzeugung:
    In diesem Beispiel soll die Regelerzeugung automatisch durchgeführt werden.
Image Removed

Image Added

1.9 Wechseln Sie in das Menü IP-Router
->
Routing
->
IPv6-Routing-Tabelle.
Image Removed
Image Added
1.10 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie alsPräfix die Adresse des lokalen IPv6-Netzwerkes in der Filiale ein. In diesem Beispiel ist dies die 2001:db8:b::/64.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: FILIALE) eingestellt werden.
Image Removed
Image Added
1.11 Wechseln Sie in das Menü IPv6
->
Allgemein
->
WAN-Schnittstellen.
Image Removed
Image Added
1.12 Erstellen Sie einen neuen Eintrag. Wählen Sie dabei als Interface die VPN-Verbindung zur Filiale aus. Die Option Firewall für dieses Interface aktiv muss ausgeschaltet werden.
Image Removed
Image Added
1.13 Öffnen Sie das Menü Firewall/QoS
->
IPv6-Regeln
->
IPv6-Inbound-Regeln und erstellen Sie eine neue Firewall-Regel.
Info:


Info

Diese Firewall-Regel wird benötigt, damit nach dem Aufbau der VPN-Verbindung die Datenübertragung von der Gegenseite (hier die FILIALE) erlaubt ist.

Image Removed
Image Added
1.14 Geben Sie im Feld Name eine Namensbezeichnung ein.
  • Die Priorität müssen Sie auf den Wert 1 setzen.
  • Als Aktion muss ACCEPT eingestellt werden.
  • Im Feld Server-Dienste müssen Sie das Objekt ANY einstellen.
  • Im Feld Quell-Stationen müssen Sie den Namen der VPN-Verbindung zur Filiale eintragen.
Image Removed
Image Added
1.15 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.


2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale:
2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale und wechseln Sie in das Menü VPN
->
Allgemein.
2.2 Aktivieren Sie die Funktion Virtual Private Network und stellen Sie bei der Option Aufbau Netzbeziehungen (SAs) den Wert Gemeinsam für KeepAlive ein, damit die Netzbeziehungen korrekt und nach dem gleichen Schema aufgebaut werden.
Image Removed
Image Added
2.3 Wechseln Sie in das Menü VPN
>
IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.
Image Removed
Image Added
2.4 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.
2.5 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein.
  • Name:
    Geben Sie den Namen für die Authentifizierung ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 2.8).
  • Lokale Authentifizierung:
    Wählen Sie den Typ der Authentifizierung im Router der Filiale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Lokaler Identitätstyp:
    Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Lokale Identität:
    Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die lokale Identität filiale@test.de verwendet.
  • Lokales Passwort:
    Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Filiale erfolgreich zu authentifizieren. Dieses Passwort muss mit dem in Schritt 1.5 konfigurierten Passwort übereinstimmen!
  • Entfernte Authentifizierung:
    Wählen Sie den Authentifizierungstypen des LANCOM Routers in der Zentrale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Entfernter Identitätstyp:
    Wählen Sie den Typ der Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Entfernte Identität:
    Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die entfernte Identität zentrale@test.de verwendet.
  • Entferntes Passwort:
    Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Zentrale erfolgreich zu authentifizieren. Dieses Passwort muss mit dem in Schritt 1.5 konfigurierten Passwort übereinstimmen!
Image Removed

Image Added

2.6 Wechseln Sie in das Menü VPN
>
IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste.
2.7 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.
Image Removed
Image Added
2.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:
  • Name der Verbindung:
    Geben Sie die Bezeichnung für die VPN-Verbindung an. Dieser Eintrag wird später in der Routing-Tabelle genutzt (siehe Schritt 2.10).
  • Haltezeit:
    Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Filiale der Wert 9999 Sekunden eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung aktiv aufbaut.
  • Entferntes Gateway:
    Geben Sie die öffentliche IP-Adresse an, unter der LANCOM Router in der Zentrale erreichbar ist. In diesem Beispiel ist das die Adresse fd00:a.
  • Authentifizierung:
    Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 2.5 festgelegt haben.
  • Regelerzeugung:
    In diesem Beispiel soll die Regelerzeugung automatisch durchgeführt werden (Standardeinstellung).
Image Removed

Image Added

2.9 Wechseln Sie in das Menü IP-Router
->
Routing
->
IPv6-Routing-Tabelle.
Image Removed
Image Added
2.10 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse die Adresse des lokalen IPv6-Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 2001:db8:a::/64.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: ZENTRALE) eingestellt werden.
Image Removed
Image Added
2.11 Wechseln Sie in das Menü IPv6
->
Allgemein
->
WAN-Schnittstellen.
Image Removed
Image Added
2.12 Erstellen Sie einen neuen Eintrag. Wählen Sie dabei als Interface die VPN-Verbindung zur Zentrale aus. Die Option Firewall für dieses Interface aktiv muss ausgeschaltet werden.
Image Removed
Image Added
2.13 Öffnen Sie das Menü Firewall/QoS
->
IPv6-Regeln
->
IPv6-Inbound-Regeln und erstellen Sie eine neue Firewall-Regel.
Info:


Info

Diese Firewall-Regel wird benötigt, damit nach dem Aufbau der VPN-Verbindung die Datenübertragung von der Gegenseite (hier die ZENTRALE) erlaubt ist.

Image Removed

Image Added

2.14 Geben Sie im Feld Name eine Namensbezeichnung ein.
  • Die Priorität müssen Sie auf den Wert 1 setzen.
  • Als Aktion muss ACCEPT eingestellt werden.
  • Im Feld Server-Dienste müssen Sie das Objekt ANY einstellen.
  • Im Feld Quell-Stationen müssen Sie den Namen der VPN-Verbindung zur Zentrale eintragen.
Image Removed
Image Added
2.15 Schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück.
Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden.
Info:


Info

Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in folgendem KB-Artikel

Image Removed

Image Added.