Beschreibung: Dieses Dokument bescheibt, wie Sie eine Netzkopplung per IKEv2 Site-To-Site VPN-Verbindung zwischen zwei LANCOM Routern einrichten können.Voraussetzungen: Szenario: - Ein Unternehmen möchte die lokalen Netzwerke in der Zentrale und einer Filiale über eine IKEv2 Site-To-Site VPN-Verbindung miteinander koppeln.
- Beide Standorte verfügen über einen LANCOM Router als Gateway und eine Internetverbindung mit einer festen öffentlichen IP-Adresse. Die öffentliche IP-Adresse der Zentrale lautet 81.81.81.81, die der Filiale 80.80.80.80.
- Die VPN-Verbindung wird von der Filiale zur Zentrale aufgebaut.
- Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.1.0/24, in der Filiale
| wid - wird der lokale IP-Adressbereich 192.168.2.0/24 verwendet.
| Image RemovedImage Added
Vorgehensweise: 1. Manuelle Konfigurationsschritte auf dem LANCOM Router der Zentrale: 1.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Zentrale und wechseln Sie in das Menü VPN | -> → Allgemein. 1.2 Aktivieren Sie die Funktion Virtual Private Network. | Image RemovedImage Added 1.3 Wechseln Sie in das Menü VPN | > IKEv2→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung. | Image RemovedImage Added 1.4 Klicken Sie auf die Schaltfläche Hinzufügen um einen neuen Eintrag zu erzeugen. 1.5 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein. |
- Namen für die Authentifizierung
|
- ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 1.8).
- Lokale Authentifizierung:
|
- Typ der Authentifizierung im Router der Zentrale
|
- aus. In diesem Beispiel wird die Authentifizierung über einen
|
- vorgenommen.
- Lokaler Identitätstyp:
|
- des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp
|
- gewählt.
- Lokale Identität:
|
- Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den
|
- LANCOM Router in der Zentrale
|
- lokale Identität zentrale @test.
| de - de verwendet.
- Lokales Passwort:
|
- , welcher verwendet werden soll um sich beim Router in der Zentrale erfolgreich zu authentifizieren.
- Entfernte Authentifizierung:
|
- Authentifizierungstypen des LANCOM Routers in der Filiale
|
- aus. In diesem Beispiel wird die Authentifizierung über einen
|
- vorgenommen.
- Entfernter Identitätstyp:
|
- des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp
|
- gewählt.
- Entfernte Identität:
|
- Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den
|
- LANCOM Router in der Filiale
|
- entfernte Identität filiale@test.
| de - de verwendet.
- Entferntes Passwort:
|
- , welcher verwendet werden soll um sich beim Router in der Filiale erfolgreich zu authentifizieren.
| Image Removed Image Added 1.6 Wechseln Sie in das Menü VPN | > IKEv2→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste. 1.7 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen. | Image RemovedImage Added 1.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein: |
- Geben Sie die Bezeichnung für die VPN-Verbindung an. Dieser Eintrag wird später in der Routing-Tabelle genutzt (siehe Schritt 1.10).
- Haltezeit:
|
- Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Zentrale eine 0 eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung nicht aktiv aufbaut.
- Entferntes Gateway:
|
- der LANCOM Router in der Filiale erreichbar ist
|
- . In diesem Beispiel ist das die
|
- Adresse 80.80.80.80.
- Authentifizierung:
|
- Wählen Sie die Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 1.5 festgelegt haben.
- Regelerzeugung:
|
In diesem Beispiel soll die Regelerzeugung automatisch durchgeführt Image Removed- Wählen Sie im Dropdownmenü die Option Manuell aus, damit eigene VPN-Regeln verwendet werden können.
- IPv4-Regeln: Wählen Sie im Dropdownmenü das vorgefertigte Regel-Objekt RAS-WITH-NETWORK-SELECTION aus. Es handelt sich dabei um eine ANY-ANY VPN-Regel, welche die Kommunikation zwischen beliebigen Netzwerken erlaubt.
Image Added 1.9 Wechseln Sie in das Menü IP-Router | -> Routing -> IPv4-→ Routing → IPv4-Routing-Tabelle. | Image RemovedImage Added 1.10 Erstellen Sie einen neuen Routing-Eintrag.- Tragen Sie als IP-Adresse die Adresse des lokalen Netzwerkes in der Filiale ein. In diesem Beispiel ist dies die 192.168.2.0.
- Als Netzmaske muss der Wert 255.255.255.0 eingetragen werden, da das lokale Netzwerk der Filiale ein Class C Netzwerk ist.
- Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: FILIALE) eingestellt werden.
- Die IP-Maskierung wird für diese Verbindung abgeschaltet.
| Image RemovedImage Added 1.11 Schreiben Sie die Konfiguration in den LANCOM Router der Zentrale zurück.
2. Manuelle Konfigurationsschritte auf dem LANCOM Router der Filiale: 2.1 Öffnen Sie die Konfiguration des LANCOM Routers in der Filiale und wechseln Sie in das Menü VPN | -> Allgemein→ Allgemein. 2.2 Aktivieren Sie die Funktion Virtual Private Network und stellen Sie bei der Option Aufbau Netzbeziehungen (SAs) den Wert Gemeinsam für KeepAlive ein, damit die Netzbeziehungen korrekt und nach dem gleichen Schema aufgebaut werden. | Image RemovedImage Added 2.3 Wechseln Sie in das Menü VPN | > IKEv2→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Authentifizierung. | Image RemovedImage Added 2.4 Klicken Sie auf die Schaltfläche Hinzufügen um einen neuen Eintrag zu erzeugen. 2.5 Tragen Sie in dem Konfigurationsfenster die Informationen zur Authentifizierung für die VPN-Verbindung ein. |
- Geben Sie den aussagekräftigen Namen
| für die Authentifizierung - ein. Dieser Eintrag wird später in der VPN-Verbindungs-Liste verwendet (siehe Schritt 2.8).
- Lokale Authentifizierung:
|
- Typ der Authentifizierung im Router der Filiale
|
- aus. In diesem Beispiel wird die Authentifizierung über einen
|
- vorgenommen.
- Lokaler Identitätstyp:
|
- des Routers in der Filiale aus. In diesem Beispiel wurde der Identitätstyp
|
- gewählt.
- Lokale Identität:
|
- Bestimmen Sie die lokale Identität. In diesem Beispiel wird für den
|
- LANCOM Router in der Filiale
|
- lokale Identität filiale@test.
| de - de verwendet.
- Lokales Passwort:
|
- , welcher verwendet werden soll um sich beim Router in der Filiale erfolgreich zu authentifizieren.
|
- Dieses Passwort muss mit dem in Schritt 1.5 konfigurierten Passwort übereinstimmen!
- Entfernte Authentifizierung:
|
- Authentifizierungstypen des LANCOM Routers in der Zentrale
|
- aus. In diesem Beispiel wird die Authentifizierung über einen
|
- vorgenommen.
- Entfernter Identitätstyp:
|
- des Routers in der Zentrale aus. In diesem Beispiel wurde der Identitätstyp
|
- gewählt.
- Entfernte Identität:
|
- Bestimmen Sie die entfernte Identität. In diesem Beispiel wird für den
|
- LANCOM Router in der Zentrale
|
- entfernte Identität zentrale@test.
| de - de verwendet.
- Entferntes Passwort:
|
- , welcher verwendet werden soll um sich beim Router in der Zentrale erfolgreich zu authentifizieren.
|
- Dieses Passwort muss mit dem in Schritt 1.5 konfigurierten Passwort übereinstimmen!
| Image RemovedImage Added 2.6 Wechseln Sie in das Menü VPN | > IKEv2→ IKEv2/IPSec und klicken Sie auf die Schaltfläche Verbindungs-Liste. Image Added 2.7 Klicken Sie auf die Schaltfläche Hinzufügen, um einen neuen Eintrag zu erzeugen. | Image Removed2.8 Geben Sie im Konfigurationsdialog die folgenden Parameter ein: |
- Geben Sie die Bezeichnung für die VPN-Verbindung an (siehe Schritt 2.5). Dieser Eintrag wird später in der Routing-Tabelle genutzt (siehe Schritt 2.10).
- Haltezeit:
|
- Geben Sie die Haltezeit in Sekunden für die VPN-Verbindung an. In diesem Beispiel wird beim LANCOM Router in der Filiale der Wert 9999 Sekunden eingetragen. Dies bedeutet, dass dieser Router die VPN-Verbindung aktiv aufbaut.
- Entferntes Gateway:
|
- Geben Sie die öffentliche IP-Adresse an, unter der LANCOM Router in der Zentrale erreichbar ist. In diesem Beispiel ist das die Adresse 81.81.81.81.
- Authentifizierung:
| Authentifizierung - Authentifizierung aus. Der Eintrag entspricht hierbei dem Namen der Authentifizierung, welche Sie in Schritt 2.5 festgelegt haben.
- Regelerzeugung:
| In diesem Beispiel soll die Regelerzeugung automatisch durchgeführt werden (Standardeinstellung).Image Removed- Wählen Sie im Dropdownmenü die Option Manuell aus, damit eigene VPN-Regeln verwendet werden können.
- IPv4-Regeln: Wählen Sie im Dropdownmenü das vorgefertigte Regel-Objekt RAS-WITH-NETWORK-SELECTION aus. Es handelt sich dabei um eine ANY-ANY VPN-Regel, welche die Kommunikation zwischen beliebigen Netzwerken erlaubt.
Image Added 2.9 Wechseln Sie in das Menü IP-Router | -> Routing -> IPv4→ Routing → IPv4-Routing-Tabelle. | Image RemovedImage Added 2.10 Erstellen Sie einen neuen Routing-Eintrag. - Tragen Sie als IP-Adresse die Adresse des lokalen Netzwerkes in der Zentrale ein. In diesem Beispiel ist dies die 192.168.1.0.
- Als Netzmaske muss der Wert 255.255.255.0 eingetragen werden, da das lokale Netzwerk der Zentrale ein Class C Netzwerk ist.
- Im Feld Router muss die Bezeichnung der VPN-Gegenstelle (hier: ZENTRALE) eingestellt werden.
- Die IP-Maskierung wird für diese Verbindung abgeschaltet.
| Image RemovedImage Added 2.11 Schreiben Sie die Konfiguration in den LANCOM Router der Filiale zurück. Nachdem die Konfiguration in den LANCOM Router der Filiale zurückgeschrieben wurde, wird die VPN-Verbindung zwischen beiden LANCOM Routern aufgebaut. Überprüfen können Sie dies, indem Sie z.B. beide LANCOM Router in den LANmonitor laden. | Info:Image Removed
Info |
---|
Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in |
| folgendem KB-Artikel
|