Versionen im Vergleich

Alte Version 2

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

PageIdMakro

Seiteneigenschaften


Description:

LANCOM Trusted Access (LTA) is the trusted network access security solution for enterprise networks. It enables secure and scalable network access for employees in the office, at home, or on the road, thus protecting modern hybrid working from anywhere at any time.

The LANCOM Trusted Access solution adapts to increasing security requirements in your organization. It supports not only classic full network access as a cloud-managed VPN client, but also the migration to a zero-trust security architecture with comprehensive network security. In the latter case, users receive granular access rights only to those applications that have been assigned to them (zero-trust principle). Existing systems for administering users and user groups (Active Directory) can be fully integrated into the ist die vertrauenswürdige Network Access Security-Lösung für Unternehmensnetzwerke. Es ermöglicht einen sicheren und skalierenden Zugriff auf Unternehmensanwendungen für Mitarbeitende im Büro, zuhause oder unterwegs und schützt damit modernes hybrides Arbeiten von überall und jederzeit.Die LANCOM Trusted Access-Lösung passt sich an steigende Sicherheitsanforderungen in Ihrer Organisation an und ermöglicht sowohl Cloud-managed VPN-Client-Vernetzung für den Zugriff auf ganze Netze als auch den Umstieg auf eine Zero-Trust-Sicherheitsarchitektur für eine umfassende Netzwerksicherheit. Dabei erhalten Benutzer auf Basis granularer Zugriffsrechte ausschließlich Zugangsberechtigung auf Anwendungen, die ihnen zugewiesen wurden (Zero-Trust-Prinzip). Bestehende Systeme zur Verwaltung von Benutzern und Benutzergruppen (Active Directory) lassen sich vollständig in die LANCOM Management Cloud (LMC) integrieren. Für kleinere Netzwerke bietet die LMC alternativ eine interne Benutzerverwaltung.

In diesem Artikel wird beschrieben wie der LTA-Client in der LMC unter Verwendung der internen Benutzerverwaltung konfiguriert werden kann.

Requirements:

  • Zugang zur LMC samt eigenem Projekt (kostenpflichtig)
  • LANCOM Router oder LANCOM R&S®Unified Firewall als LTA-Gateway
    • LCOS ab Version 10.80 Rel
    • LCOS FX ab Version 10.13
  • LTA-Client
  • Bereits konfiguriertes und funktionsfähiges Netzwerk samt Internet-Verbindung
  • Beliebiger Web-Browser für den Zugriff auf die LMC
  • DynDNS-Anbieter für die E-Mail-Domäne mit Unterstützung für einen "TXT Resource Record"
Info

Der in der LMC integrierte DynDNS-Dienst unterstützt keinen "TXT Resource Record" und kann daher leider nicht verwendet werden.

Procedure:

1. Konfigurations-Schritte in der LMC:

1.1 Aktivierung der VPN-Funktionalität:

. For smaller networks, the LMC alternatively offers internal user administration.

This article describes how the LMC is used to configure the LTA client using internal user administration.

Hinweis

There are several default settings and profiles in VPN (e.g. encryption parameters). These are used to set up a VPN connection and allow for an easier configuration by means of prefabricated parameters.

When using IKEv2 the remote site DEFAULT in the Connection list has a special role, as the initial connection establishment is carried out via this remote site. When the VPN connection is recognized (e.g. on the basis of the identities), a switch to the actual VPN remote site occurs.

The default profiles must not be deleted or modified. Otherwise it is possible, that the VPN connection cannot be established anymore!


You can find scripts to restore the default VPN settings in the following Knowledge Base article:

Restoring default settings in VPN


Requirements:

Info

The DynDNS service integrated in the LMC unfortunately does not support a “TXT Resource Record” and therefore cannot be used.


Procedure:

1) Configuration steps in the LMC:

1.1) Activate the VPN function:

1.1.1) In the LMC, go to the Networks menu and click the network that the LTA client should log in to (in this example 1.1.1 Wechseln Sie in der LMC in das Menü Netze und klicken auf das Netzwerk, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).

1.1.2 Klicken Sie in der Übersicht auf Netz bearbeiten) In the Overview, click Edit network.

1.1.3 Passen Sie die folgenden Parameter an und klicken auf Speichern:) Modify the following parameters and then click Save:

  • Link devices via secure connection (VPN): Set a checkmark to enable the VPN function.
  • Central-site IP addresses or DNS names: Enter the public IP address or public DNS name of the router. This must be specified as soon as the VPN function is activated
  • Geräte über eine sichere Verbindung miteinander koppeln (VPN): Setzen Sie den Haken, um die VPN-Funktionalität zu aktivieren.
  • Central Site IP-Adressen oder DNS-Namen: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein. Diese muss angegeben werden, sobald die VPN-Funktionalität aktiviert wird.

Image Modified


1.2) Activate LTA-Funktion aktivieren:

1.2.1 Wechseln Sie im Menü Sicherheit in den Reiter LANCOM Trusted Access und klicken bei LTA aktivieren auf den Schieberegler) In the Security menu, go to the LANCOM Trusted Access tab and click the Activate LTA slider.

Image Modified

1.2.2 Klicken Sie auf Aktivieren) Click Activate.

Image Modified


1.3) Client -Konfigurationconfiguration:In der Client-Konfiguration werden grundlegende Parameter wie die Adresse des LTA-Gateways hinterlegt. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden

The Client configuration is used to store basic parameters such as the address of the LTA gateway. These settings apply globally and cannot be configured for individual users.

1.3.1 Wechseln Sie in den Reiter Client-Konfiguration und passen die folgenden Parameter an:) Go to the Client configuration tab and modify the following parameters:

  • Accessible network: From the drop-down menu, select the network edited in step 1.1 that the LTA client should log in to (in this example Erreichbares Netz: Wählen Sie im Dropdown-Menü das in Schritt 1.1 bearbeite Netzwerk aus, in das sich der LTA-Client einbuchen soll (in diesem Beispiel INTRANET).
  • Gateway IP oder Domain: Tragen Sie die öffentliche IP-Adresse oder den DNS-Namen des Routers ein, unter der/dem der LTA-Client den Router erreichen kann (in diesem Beispiel or domain: Enter the public IP address or DNS name of the router where the LTA client can reach the router (in this example 81.81.81.181).
  • Trusted Access Client IP Netzwerk: Geben Sie die Netzadresse eines Netzwerks in CIDR-Schreibweise network: Enter the network address of a network in CIDR (Classless Inter Domain Routing) an. Aus diesem Netzwerk wird dem LTA-Client eine IP-Adresse zugewiesen (in diesem Beispiel notation. The LTA client is assigned an IP address from this network (in this example 10.0.0.0/8). In den meisten Fällen wird dazu das Erreichbare Netz verwendet werden, es ist aber auch möglich, ein anderes Netzwerk anzugeben.most cases the Accessible network is used for this, but it is also possible to specify a different network.
  • Tunneled domains for DNS resolution: Enter Domains which should always be transmitted via the VPN tunnel (in this example Getunnelte Domains für DNS-Auflösung: Tragen Sie Domains ein, die immer über den VPN-Tunnel übertragen werden sollen (in diesem Beispiel *.intern).
Info

Für die Getunnelten Domains für DNS-Auflösung kann die Wildcard * verwendet werden. Diese steht für beliebig viele Zeichen. Mehrere Einträge können durch ein Komma separiert werdenThe * wildcard can be used for the tunneled domains for DNS resolution. This represents any number of characters. Multiple entries can be separated by a comma.

Image Modified

1.3.2 Passen Sie bei Bedarf die folgenden Parameter an) Modify the following parameters if required:

  • Allow AVC mode in LTA client: If this option is enabled, the user can switch between the LTA client and the Advanced VPN client. This can be helpful, for example, if there are VPN connections to customers in addition to the LTA access to the company.
  • Enable LTA client self-sustaining continued operation: If standalone continued operation is enabled, the LTA client is able to establish a VPN connection for the specified period of time, even if the LMC cannot be reached-Modus im LTA-Client erlauben: Wird diese Option aktiviert, kann der Benutzer zwischen LTA-Client und dem Advanced VPN Client umschalten. Dies ist z.B. sinnvoll, wenn neben dem LTA-Zugang in die Firma zusätzliche VPN-Verbindungen zu Kunden bestehen.Autarker Weiterbetrieb im LTA-Client aktivieren: Wird der autarke Weiterbtreib aktiviert, kann für den angegebenen Zeitraum eine VPN-Verbindung mit dem LTA-Client aufgebaut werden, auch wenn die LMC nicht erreichbar ist.

Image Modified

1.3.3 Wählen Sie bei Split Tunnel die Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) aus und klicken auf das "Plus-Zeichen", um die Ziel-Netzwerke anzugeben.) Under Split Tunnel, select the option Only network traffic to configured networks through tunnel (Split Tunnel) and click the “+” icon to specify the target networks.

Info

If the option All network traffic (LANCOM Trusted Internet Access - Full Tunnel) is enabled, or if there is no target network configured for the option Only network traffic to configured networks through tunnel (Split Tunnel), then all data traffic is transmitted via the VPN tunnel. This means that local resources in the user's network cannot be reached while a VPN tunnel is established. It may also result in slower transmission of Internet data traffic, as this is all transmitted via the LTA gateway. In return the data traffic can be checked via Content Filter and Antivirus on the LTA gateway

Info

Wird die Option Gesamter Netzwerkverkehr durch Tunnel verwendet oder bei der Option Nur Netzwerkverkehr zu konfigurierten Netzwerken durch den Tunnel (Split Tunnel) kein Ziel-Netzwerk hinterlegt, wird jeglicher Datenverkehr über den VPN-Tunnel übertragen. Dies führt dazu, dass lokale Ressourcen im Netzwerk des Benutzers bei aufgebautem VPN-Tunnel nicht erreicht werden können. Zudem kann es zu einer langsameren Übetragung des Internet-Datenverkehrs kommen, da dieser über das LTA-Gateway übertragen wird.

Image Modified

1.3.4 Tragen Sie die Ziel-Netzwerke in CIDR-Schreibweise ein und klicken auf Speichern) Enter the tunneled networks in CIDR notation and click Save.

Image Modified


1.4) Endpoint Security (optional):

Optional kann die Endpoint Security aktiviert werden. Der LTA-Client prüft dann, ob die vorgegebenen Parameter erfüllt sind und baut nur dann die VPN-Verbindung auf. Diese Einstellungen gelten global und können nicht für einzelne Benutzer konfiguriert werden can optionally be activated. The LTA client then checks whether the specified parameters are met and only then will the VPN connection be established. These settings apply globally and cannot be configured for individual users.

1.4.1 Wechseln Sie in den Reiter ) Go to the Endpoint Security, passen die folgenden Parameter an und klicken auf Speichern: tab, adjust the following parameters and click Save:

  • Enable endpoint verification: Enable the option with the slider.
  • Allowed OS: If required, select the permitted operating systems as well as the minimum and maximum build versions (in this example, Windows 10 or Windows 11 is assumed
  • Endpoint Verifikation aktivieren: Aktivieren Sie die Option über den Schieberegler.
  • Erlaubte Betriebssysteme: Wählen Sie bei Bedarf die erlaubten Betriebssysteme sowie die minimalen und maximalen Build-Versionen aus (in diesem Beispiel wird Windows 10 bzw. Windows 11 vorausgesetzt).
  • Anti-Virus: Aktivieren Sie bei Bedarf die Prüfung der Antivirus-Funktion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert und If necessary, enable the anti-virus function check on the user's computer (in this example the option used is enabled and up-to-date verwendet).
  • Firewall: Aktivieren Sie bei Bedarf die Prüfung der Firewall-Funkion auf dem Computer des Benutzers (in diesem Beispiel wird die Option Aktiviert verwendet und somit geprüft, ob eine Firewall aktiv istIf necessary, enable the firewall function check on the user's computer (in this example the option used is enabled, which checks whether a firewall is active).

Image Modified


1.5 Benutzerverwaltung:) User administration:

The User administration is where you enter your own domain. Users can be connected to an Active Directory, if available, or they can be configured in the LMCIn der Benutzerverwaltung wird die eigene Domäne hinterlegt. Benutzer können - sofern vorhanden - über ein Active Directory angebunden oder in der LMC konfiguriert werden.

1.5.1 Wechseln Sie in den Reiter Benutzerverwaltung und wählen die Option LMC-verwaltet aus. Klicken Sie anschließend bei TXT Resource Record auf Text kopieren. Tragen Sie diesen bei Ihrem DynDNS-Anbieter für die Domäne als TXT Resource Record ein) Go to the User administration tab and enable the option LMC-managed. Then click Copy text next to the  TXT resource record field. Enter this as the TXT resource record in the account of your DynDNS provider for the domain.

Image Modified

1.5.2 Tragen Sie bei Domain die von Ihnen verwendete Domäne ein (in diesem Beispiel mydomain.de) und klicken auf Speichern) Use the Domain field to enter the domain you are using (in this example mydomain.com) and click Save.

Image Modified

1.5.3 Klicken Sie auf Benutzer hinzufügen) Click Add user.

Image Modified

1.5.4 Passen Sie die folgenden Parameter an und klicken auf Speichern) Modify the following parameters and then click Save:

  • Name: Vergeben Sie einen aussagekräftigen Namen für den Benutzer (in diesem Beispiel Enter a descriptive name for the user (in this example Admin).
  • E-Mail-Adresse: Tragen Sie den Benutzernamen der E-Mail-Adresse für den Benutzer ein. Die Domain ist bereits hinterlegt.
  • Passwort: Vergeben Sie ein Passwort, welches der Benutzer beim ersten Verbindungs-Aufbau mit dem LTA-Client angeben muss (der Benutzer wird anschließend aufgefordert ein eigenes Passwort zu vergeben).
  • mail: Enter the user name of user’s e-mail address. The domain is already stored.
  • Password: Set a password that the user enters when connecting with the LTA client for the first time (the user will then be asked to set their own password).
  • Confirm password: Confirm the passwordPasswort wiederholen: Bestätigen Sie das Passwort.

Image Modified


1.6 Verbindungsziele:) Connection targets:

The Connection targets menu is used to create resources that can be assigned to the users (see step In den Verbindungszielen werden Ressourcen angelegt, welche den Benutzern zugewiesen werden können (siehe Schritt 1.7).

1.6.1 Wechseln Sie in den Reiter Verbindungsziele und klicken auf Verbindungsziel hinzufügen) Go to the Connection targets tab and click Add connection target.

Image Modified

1.6.2 Passen Sie die folgenden Parameter an und klicken auf Speichern) Modify the following parameters and then click Save:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Verbindungsziel (in diesem Beispiel Enter a descriptive name for the connection target (in this example Web-Server).
  • Hostname / IPv4 -Adresse address / CIDR -Adresse: Tragen Sie einen DNS-Namen oder die IP-Adresse eines Verbindungsziels ein (in diesem Beispiel notation: Enter a DNS name or the IP address of the connection target (in this example 10.0.0.250). Alternativ können Sie auch den Zugriff auf ein ganzes Netzwerk freigeben, indem Sie die Netz-Adresse in CIDR-Schreibweise angeben (z.BAlternatively, you can provide access to an entire network by entering the network address in CIDR notation (e.g. 10.0.0.0/8).
  • Protokoll: Wählen Sie das Protokoll für die Kommunikation aus (in diesem Beispiel Protocol: Select the communications protocol(in this example TCP).
    • Die folgenden Protokolle stehen zur VerfügungThe following protocols are available:
      • TCP
      • UDP
      • ICMP
      • AH
      • ESP
      • GRE
      • TCP+UDP
      • Alle ProtokolleAll protocols
  • Port: Tragen Sie die Ports für die Kommunikation ein (in diesem Beispiel 80 und 443). Mehrere Ports können durch ein Komma separiert werden (z.B. 443,80). Port-Bereiche können durch einen Bindestrich hinterlegt werden (z.B Enter the ports for the communications (in this example 80 and 443). Multiple ports can be separated by a comma (e.g. 80,443). Port ranges can be entered with a hyphen (e.g. 5060-5061).

Image Modified


1.7 Berechtigungsprofile:) Authorization profiles:

The Authorization profiles are used to link users to the connection targets. Different users can be assigned to individual connection targets. The LMC uses these settings as a basis to automatically create firewall rules that allow communication to the connection targetsIn den Berechtigungsprofilen werden die Benutzer mit den Verbindungszielen verknüpft. Dabei ist es möglich unterschiedlichen Benutzern individuelle Verbindungsziele zuzuweisen. Die LMC erstellt anhand der vorgenommenen Einstellungen automatisch Firewall-Regeln, welche die Kommunikation zu den Verbindungszielen erlaubt.

1.7.1 Wechseln Sie in den Reiter Berechtigungsprofile und klicken auf Berechtigungsprofil hinzufügen) Go to the Authorization profiles tab and click Add authorization profile.

Image Modified

1.7.2 Passen Sie die folgenden Parameter an) Modify the following parameters:

  • Profilname: Vergeben Sie einen aussagekräftigen Namen für das Profil (in diesem Beispiel Profile name: Enter a descriptive name for the profile (in this example Admin).
  • Benutzer Users / Gruppen: Wählen Sie im Dropdownmenü den in Schritt Groups: From the drop-down menu, select the user created in step 1.5.4 erstellten Benutzer aus (in diesem Beispiel admin). Sie können auch mehrere Benutzer auswählen und diesen die gleichen Berechtigungen zuweisenthis case Admin). You can optionally select multiple users and assign them the same permissions.
Info

Für jeden aktiven Benutzer wird eine LTA-Lizenz benötigtAn LTA license is required for every active user.

Image Modified

1.7.3 Aktivieren Sie unter Status die gewünschten Verbindungsziele für den Benutzer (siehe Schritt ) Under Status enable the necessary connection targets for the user (see step 1.6.2) und klicken auf Erstellenand click Create.

Image Modified



2. Konfigurations-Schritte im LTA-Client) Configuration steps in the LTA client:

2.1 Klicken Sie im LTA-Client auf Einstellungen und wählen die Option LMC Domäne aus) In the LTA client, click Settings and select the option LMC Domain.

Image Modified

2.2 Passen Sie die folgenden Parmeter an) Change the following parameters:

  • URL: Tragen Sie die URL cloud.Enter the URL lancom.de ein.
  • Domäne: Tragen Sie die E-Mail Domäne ein, welche Sie in Schritt Domain: Enter the e-mail domain that you stored in the LMC in step 1.5.1 in der LMC hinterlegt haben (in diesem Beispiel this example mydomain.decom).

Image Modified