Versionen im Vergleich

Alte Version 17

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 18

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...


Beschreibung:
Dieses Dokument bescheibt, wie Sie eine IPv6-Netzkopplung per IKEv2 Site-To-Site VPN-Verbindung zwischen zwei LANCOM Routern einrichten können.


Voraussetzungen:


Szenario:
  • Ein Unternehmen möchte die lokalen IPv6-Netzwerke in der Zentrale und einer Filiale über eine IKEv2 Site-To-Site VPN-Verbindung miteinander koppeln.
  • Beide Standorte verfügen über einen LANCOM Router als Gateway und eine IPv6-Internetverbindung mit einer öffentlichen IPv6-Adresse. Die öffentliche IPv6-Adresse der Zentrale lautet fd00::a, die der Filiale fd00::b.
  • Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
  • Das lokale IPv6-Netzwerk der Zentrale hat den IP-Adressbereich 2001:db8:a::/64, in der Filiale wid der lokale IPv6-Adressbereich 2001:db8:b::/64 verwendet.

Vorgehensweise:
1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale:
1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale, wechseln Sie in das Menü VPN → Allgemein und aktivieren die Option Virtual Private Network.
1.2 Wechseln Sie in das Menü VPN → IKEv2/IPSecAuthentifizierung.
1.3 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.
1.4 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein.
  • Name: Geben Sie den Namen für die Authentifizierung ein (in diesem Beispiel FILIALE). Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.7).
  • Lokale Authentifizierung: Wählen Sie den Typ der Authentifizierung im Router der Zentrale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Lokaler Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Lokale Identität: Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die Identität zentrale@lancom.de verwendet.
  • Lokales Passwort: Vergeben Sie den Pre-shared Key, welcher verwendet werden soll, um sich beim Router in der Zentrale erfolgreich zu authentifizieren.
  • Entfernte Authentifizierung: Wählen Sie den Authentifizierungstypen des LANCOM Routers in der Filiale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Entfernter Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Entfernte Identität: Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die Identität filiale@lancom.de verwendet.
  • Entferntes Passwort: Vergeben Sie den Pre-shared Key, welcher verwendet werden soll, um sich beim Router in der Filiale erfolgreich zu authentifizieren.

1.5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.
1.6 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.
1.7 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:
  • Name der Verbindung: Geben Sie die Bezeichnung einen aussagekräftigen Namen für die VPN-Verbindung an. Dieser Eintrag wird später in der IPv6-Routing-Tabelle genutzt referenziert (siehe Schritt 1.9).
  • Haltezeit: Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut.
  • Entferntes Gateway: Geben Sie die IPv6-Adresse an, unter der der LANCOM Router in der Filiale erreichbar ist. In diesem Beispiel ist das die Adresse 2001:db8:b::1234.
  • Authentifizierung: Wählen Sie im Dropdownmenü das in Schritt 1.4 erstellte Authentifizierungs Profil aus. 
  • Regelerzeugung: Wählen Sie im Dropdownmenü die Option Manuell aus, damit eine eigene IPv6-Regel verwendet werden kann. 
  • IPv6-Regeln: Wählen Sie im Dropdownmenü die vorgefertigte Standard-Regel RAS-WITH-NETWORK-SELECTION aus.
  • IPv6-Profil: Wählen Sie im Dropdownmenü das IPv6-Profil der Internet-Verbindung aus (in diesem Beispiel INTERNET).

1.8 Wechseln Sie in das Menü IP-Router → Routing → IPv6-Routing-Tabelle.
1.9 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie alsPräfix die Adresse des lokalen IPv6-Netzwerkes in der Filiale ein. In diesem Beispiel ist dies die 2001:db8:b::/64.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: FILIALE) eingestellt werden (siehe Schritt 1.7).
1.10 Öffnen Sie das Menü Firewall/QoS → IPv6-Regeln → IPv6-Inbound-Regeln

1.11 Stellen Sie sicher, dass die Regel ALLOW-IPSEC vorhanden und aktiv ist. Diese erlaubt den Aufbau einer VPN-Verbindung zu diesem Router. 
1.12 Wechseln Sie in das Menü Firewall/QoS → IPv6-Regeln → IPv6-Forwarding-Regeln.
1.13 Stellen Sie sicher, dass die Regel ALLOW-VPN vorhanden und aktiv ist. Dieser erlaubt die Kommunikation über VPN-Verbindungen.
1.14 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.


2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale:
2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale, wechseln Sie in das Menü VPN → Allgemein und aktivieren die Option Virtual Private Network.
2.3 2 Wechseln Sie in das Menü VPN → IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung.
2.4 3 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.
2.5 4 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein.
  • Name: Geben Sie den einen aussagekräftigen Namen für die Authentifizierung ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 2.87).
  • Lokale Authentifizierung: Wählen Sie den Typ der Authentifizierung im Router der Filiale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Lokaler Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Lokale Identität: Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den LANCOM Router in der Filiale die lokale Identität filiale@testfiliale@lancom.de verwendet.
  • Lokales Passwort: Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Filiale Zentrale erfolgreich zu authentifizieren. Dieses Passwort muss mit dem in Schritt 1.5 4 konfigurierten Passwort übereinstimmen!
  • Entfernte Authentifizierung: Wählen Sie den Authentifizierungstypen des LANCOM Routers in der ZentraleFiliale aus. In diesem Beispiel wird die Authentifizierung über einen Pre-shared Key (PSK) vorgenommen.
  • Entfernter Identitätstyp: Wählen Sie den Typ der Identität des Routers in der Zentrale Filiale aus. In diesem Beispiel wurde der Identitätstyp E-Mail-Adresse (FQUN) gewählt.
  • Entfernte Identität: Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den LANCOM Router in der Zentrale die entfernte Identität zentrale@testzentrale@lancom.de verwendet.
  • Entferntes Passwort: Vergeben Sie den Pre-shared Key, welcher verwendet werden soll um sich beim Router in der Zentrale erfolgreich zu authentifizieren. Dieses Passwort muss mit dem in Schritt 1.5 4 konfigurierten Passwort übereinstimmen!

2.6 5 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungs-Liste.
2.7 6 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen.
2.8 7 Geben Sie im Konfigurationsdialog die folgenden Parameter ein:
  • Name der Verbindung: Geben Sie die Bezeichnung einen aussagekräftigen Namen für die VPN-Verbindung an. Dieser Eintrag wird später in der IPv6-Routing-Tabelle genutzt referenziert (siehe Schritt 2.109).
  • Haltezeit: Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Filiale der Wert 9999 Sekunden eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung aktiv aufbaut.
  • Entferntes Gateway: Geben Sie die öffentliche IPIPv6-Adresse oder den entsprechenden DynDNS-Namen an, unter der der LANCOM Router in der Zentrale erreichbar ist. In diesem Beispiel ist das die Adresse fd002001:db8:a::1234.
  • Authentifizierung: Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie im Dropdownmenü das in Schritt 2.5 festgelegt haben.4 erstellte Authentifizierungs Profil aus. 
  • Regelerzeugung:In diesem Beispiel soll die Regelerzeugung automatisch durchgeführt werden (Standardeinstellung Wählen Sie im Dropdownmenü die Option Manuell aus, damit eine eigene IPv6-Regel verwendet werden kann. 
  • IPv6-Regeln: Wählen Sie im Dropdownmenü die vorgefertigte Standard-Regel RAS-WITH-NETWORK-SELECTION aus.
  • IPv6-Profil: Wählen Sie im Dropdownmenü das IPv6-Profil der Internet-Verbindung aus (in diesem Beispiel INTERNET).

2.9 8 Wechseln Sie in das Menü IP-Router → Routing → IPv6-Routing-Tabelle.
2.9 Erstellen Sie einen neuen Routing-Eintrag.
  • Tragen Sie als IP-Adresse Präfix die Adresse des lokalen IPv6-Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 2001:db8:a::/64.
  • Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: in diesem Beispiel die VPN-Gegenstelle ZENTRALE) eingestellt ausgewählt werden.
2.10 Öffnen Sie das Menü Firewall/QoS → IPv6-Regeln → IPv6-Inbound-Regeln.

2.11 Stellen Sie sicher, dass die Regel ALLOW-IPSEC vorhanden und aktiv ist. Diese erlaubt den Aufbau einer VPN-Verbindung zu diesem Router. 
2.12 Wechseln Sie in das Menü Firewall/QoS → IPv6-Regeln → IPv6-Forwarding-Regeln.
2.13 Stellen Sie sicher, dass die Regel ALLOW-VPN vorhanden und aktiv ist. Dieser erlaubt die Kommunikation über VPN-Verbindungen.
2.14 Schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück.
Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden.


Info

Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in diesem Knowledge Base Artikel.



...