Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

In diesem Artikel wird beschrieben, wie eine VPN-Verbindung für den Advanced VPN Client zu einem LANCOM Router mit Zwei-Faktor-Authentifizierung eingerichtet werden kann (IKEv2-EAP-OTP).

Info

Die folgenden Authenticator-Apps wurden im Rahmen dieses Artikels auf Interoperabilität getestet (Stand Oktober 2023).

Apple iOS 16/17:

Authenticator-AppApp unterstützt SHA-1App unterstützt SHA-256
Google AuthenticatorJaJa
Microsoft AuthenticatorJaNein
NCP AuthenticatorJaJa


Android 13:

Authenticator-AppApp unterstützt SHA-1App unterstützt SHA-256
Google AuthenticatorJaJa
Microsoft AuthenticatorJaNein
NCP AuthenticatorJaJa



Voraussetzungen:

  • LANCOM Central Site Gateway, Router der 19xx Serie, WLAN-Controller oder Router mit VPN-25 Option
  • Advanced VPN Client für Windows ab Version 5.0
  • LCOS ab Version 10.70 RC2 REL (download aktuelle Version)
  • LANtools ab Version 10.70 RC2 REL (download aktuelle Version)
  • Authenticator-App für Android oder iOS (etwa der Google-Authenticator oder der Microsoft-Authenticator)
Info

Alle involvierten Geräte (LANCOM Router, PC mit dem Advanced VPN Client und Smartphone mit der Authenticator-App) müssen über aktuelle Zeit-Einstellungen verfügen.

Informationen zur Konfiguration der Zeit-Synchronisation auf einem LANCOM Router erhalten Sie in diesem Artikel.



Szenario:

Für den Aufbau einer Advanced VPN Client Verbindung zu einem Router soll ein Einmal-Passwort (OTP) generiert werden, welches in einer Authenticator-App angezeigt wird und beim Start der VPN-Verbindung eingegeben werden muss.

...

  • Authentifizierung: Wählen Sie im Dropdownmenü das in Schritt 2.4 erstellte Authentifizierungs-Profil aus.
  • Regelerzeugung: Setzen Stellen Sie die Regelerzeugung auf Manuellsicher, dass im Dropdownmenü die Option Manuell ausgewählt ist.
  • IPv4-Regeln: Wählen Sie im Dropdownmenü das ab Werk vorhandene Objekt RAS-WITH-CONFIG-PAYLOAD aus.
  • IKE-CFG: Wählen Sie im Dropdownmenü Server aus.
  • IPv4-Adress-Pool: Wählen Sie im Dropdownmenü den in Schritt 2.6 erstellten IP-Adress-Pool aus.
  • RADIUS-Auth.-Server: Wählen Sie im Dropdownmenü das in Schritt 2.9 erstellte RADIUS-Objekt aus.
Info

Vorhandene VPN-Verbindungen mit Preshared-Key funktionieren nach der Anpassung weiterhin wie gewohnt.

2.13 Die Konfiguration der VPN-Verbindung ist damit abgeschlossen.

...

3.1 Wechseln Sie in das Menü RADIUS → Server und aktivieren die Option RADIUS-Authentisierung aktiv, um den RADIUS-Server zu aktivieren. Stellen Sie sicher, das im Menü RADIUS-Dienste-Ports die RADIUS Ports 1.812 und 1.813 eingetragen sind (Standardeinstellung).

3.2 Wechseln Sie in das Menü RADIUS → Server → EAP.

...

  • Name/MAC-Adresse: Tragen Sie den Benutzernamen für den VPN-Benutzer ein.
  • Passwort: Tragen Sie ein Passwort für den VPN-Benutzer ein.
  • Ablauf-Art: Wählen Sie im Dropdownmenü die Option Niemals aus, damit der VPN-Benutzer dauerhaft gültig bleibt.
Info

Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer.

3.6 Wechseln Sie in das Menü RADIUS → Server → OTP-Benutzerkonten.

...

  • Benutzername: Wählen Sie im Dropdownmenü den Namen des in Schritt 3.5 erstellten Benutzerkontos aus.
  • Hash-Algorithmus: Wählen Sie im Dropdownmenü die Option

    SHA-256

    SHA256 aus. Wenn die verwendete Authenticator App den Hash-Algorithmus SHA256 nicht unterstützt, können Sie stattdessen auch SHA1 verwenden.

  • Zeitschritt: Dieser Parameter stellt das Intervall dar, in dem ein neuer OTP-Token erzeugt wird. Belassen Sie die Einstellung auf dem Standard-Wert 30 Sekunden.  
  • Netzwerk-Verzögerung: Dieser Parameter definiert, um wieviele Zeitschritte die Uhr des Endgerätes mit der Authenticator App von der Uhrzeit des Routers abweichen darf. Der Router prüft dann zusätzlich die OTPs davor und danach. Belassen Sie die Einstellung auf dem Standard-Wert von 1 (in diesem Fall werden OTPs also 30 Sekunden davor und danach geprüft). 
  • Secret: Vergeben Sie ein 16-stelliges Kennwort. Dieses darf nur Großbuchstaben und Zahlen zwischen 2 - 7 enthalten (siehe RFC3548). Das Passwort wird in Base32 codiert und mit dem Authenticator geteilt. 
  • Aussteller: Tragen Sie einen aussagekräftigen Namen für den Aussteller ein (in diesem Beispiel LANCOM-OTP).
  • Anzahl-Stellen: Belassen Sie die Einstellung auf dem Standard-Wert von 6 Zeichen
Info

Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer.

Hinweis

Bei einigen älteren Android Geräten und dem Microsoft Authenticator wird der Hash-Algorithmus SHA256 nicht unterstützt. Verwenden Sie in diesem Fall bitte SHA1.

Bei Verwendung des Google Authenticators muss mindestens ein 16-stelliges Secret vergeben werden, da ansonsten der Scan des QR-Codes fehlschlägt.



4. Export des CA-Zertifikats vom LANCOM Router und Import im Advanced VPN Client:

...

4.2 Kopieren Sie das Zertifikat auf dem Computer, der die VPN-Verbindung aufbauen soll, in den Ordner C:\ProgramData\LANCOM\Advanced VPN Client\cacerts.

Info

Bei Verwendung der Client-Version 6.21 kann das Verzeichnis auch C:\ProgramData\LANCOM\Trusted Access Client\cacerts lauten. Dies ist abhängig davon, ob Sie die Version 6.21 initial neu installiert haben, oder von einer älteren Version aktualisiert haben.

4.3 Starten Sie den Advanced VPN Client und wechseln in das Menü Verbindung → Zertifikate → CA-Zertifikate anzeigen.

...

5.1 Wechseln Sie im Advanced VPN Client in das Menü Konfiguration → Profile.

5.2 Klicken Sie auf Hinzufügen / Import, um eine neue VPN-Verbindung zu erstellen.

...

Info

Weitere Informationen zum Split Tunneling finden Sie in diesem Knowledge Base Artikel.

5.11 Markieren Sie das in Schritt 5.1 - 5.10 erstellte VPN-Profil und klicken auf Bearbeiten.

...

5.13 Wechseln Sie in den Reiter Identität und tragen den Benutzer-Namen des RADIUS-Benutzers als Lokale Identität sowie die den Namen des OTP-Benutzers als Benutzername für die EAP-Authentisierung ein. Zusätzlich muss für die EAP-Authentisierung ein beliebiges Passwort hinterlegt werden, da das Feld nicht leer bleiben darf.

...