...
In diesem Artikel wird beschrieben, wie eine VPN-Verbindung für den Advanced VPN Client zu einem LANCOM Router mit Zwei-Faktor-Authentifizierung eingerichtet werden kann (IKEv2-EAP-OTP).
| Info | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Die folgenden Authenticator-Apps wurden im Rahmen dieses Artikels auf Interoperabilität getestet (Stand Oktober 2023). Apple iOS 16/17:
Android 13:
|
Voraussetzungen:
- LANCOM Central Site Gateway, Router der 19xx Serie, WLAN-Controller oder Router mit VPN-25 Option
- Advanced VPN Client für Windows ab Version 5.0
- LCOS ab Version 10.70 REL (download aktuelle Version)
- LANtools ab Version 10.70 REL (download aktuelle Version)
- Authenticator-App für Android oder iOS (etwa der Google-Authenticator oder der Microsoft-Authenticator)
| Info |
|---|
Der LANCOM Router muss Alle involvierten Geräte (LANCOM Router, PC mit dem Advanced VPN Client und Smartphone mit der Authenticator-App) müssen über aktuelle Zeit-Einstellungen verfügen. Informationen zur Konfiguration der Zeit-Synchronisation auf einem LANCOM Router erhalten Sie in diesem Artikel. |
...
- Name/MAC-Adresse: Tragen Sie den Benutzernamen für den VPN-Benutzer ein.
- Passwort: Tragen Sie ein Passwort für den VPN-Benutzer ein.
- Ablauf-Art: Wählen Sie im Dropdownmenü die Option Niemals aus, damit der VPN-Benutzer dauerhaft gültig bleibt.
| Info |
|---|
Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer. |
3.6 Wechseln Sie in das Menü RADIUS → Server → OTP-Benutzerkonten.
...
- Benutzername: Wählen Sie im Dropdownmenü den Namen des in Schritt 3.5 erstellten Benutzerkontos aus.
Hash-Algorithmus: Wählen Sie im Dropdownmenü die Option SHA256 aus. Wenn die verwendete Authenticator App den Hash-Algorithmus SHA256 nicht unterstützt, können Sie stattdessen auch SHA1 verwenden.
- Zeitschritt: Dieser Parameter stellt das Intervall dar, in dem ein neuer OTP-Token erzeugt wird. Belassen Sie die Einstellung auf dem Standard-Wert 30 Sekunden.
- Netzwerk-Verzögerung: Dieser Parameter definiert, um wieviele Zeitschritte die Uhr des Endgerätes mit der Authenticator App von der Uhrzeit des Routers abweichen darf. Der Router prüft dann zusätzlich die OTPs davor und danach. Belassen Sie die Einstellung auf dem Standard-Wert von 1 (in diesem Fall werden OTPs also 30 Sekunden davor und danach geprüft).
- Secret: Vergeben Sie ein 16-stelliges Kennwort. Dieses darf nur Großbuchstaben und Zahlen zwischen 2 - 7 enthalten (siehe RFC3548). Das Passwort wird in Base32 codiert und mit dem Authenticator geteilt.
- Aussteller: Tragen Sie einen aussagekräftigen Namen für den Aussteller ein (in diesem Beispiel LANCOM-OTP).
- Anzahl-Stellen: Belassen Sie die Einstellung auf dem Standard-Wert von 6 Zeichen.
| Info |
|---|
Wiederholen Sie diesen Schritt für jeden weiteren VPN-Benutzer. |
| Hinweis |
|---|
Bei einigen älteren Android Geräten und dem Microsoft Authenticator wird der Hash-Algorithmus SHA256 derzeit nicht unterstützt. Verwenden Sie in diesem Fall bitte SHA1. Bei Verwendung des Google Authenticators muss mindestens ein 16-stelliges Secret vergeben werden, da ansonsten der Scan des QR-Codes fehlschlägt. |
4. Export des CA-Zertifikats vom LANCOM Router und Import im Advanced VPN Client:
...
4.2 Kopieren Sie das Zertifikat auf dem Computer, der die VPN-Verbindung aufbauen soll, in den Ordner C:\ProgramData\LANCOM\Advanced VPN Client\cacerts.
| Info |
|---|
Bei Verwendung der Client-Version 6.21 kann das Verzeichnis auch C:\ProgramData\LANCOM\Trusted Access Client\cacerts lauten. Dies ist abhängig davon, ob Sie die Version 6.21 initial neu installiert haben, oder von einer älteren Version aktualisiert haben. |
4.3 Starten Sie den Advanced VPN Client und wechseln in das Menü Verbindung → Zertifikate → CA-Zertifikate anzeigen.
...
| Info |
|---|
Weitere Informationen zum Split Tunneling finden Sie in diesem Knowledge Base Artikel. |
5.11 Markieren Sie das in Schritt 5.1 - 5.10 erstellte VPN-Profil und klicken auf Bearbeiten.
...