Seitenhistorie

PageIdMakro

Seiteneigenschaften

Beschreibung:

Description:

This document describes how to configure an Advanced Mesh VPN connection on LANCOM routersDieses Dokument beschreibt, wie Sie mit LANCOM Routern eine Advanced Mesh VPN-Verbindung einrichten können.

Info
Informationen zu For information about LANCOM Advanced Mesh erhalten Sie im LCOS-Referenzhandbuch, see the LCOS Reference Manual.

...

Requirements:

LCOS ab Version as of version 10.70 (download aktuelle Versionlatest version)
LANtools ab Version from version 10.70 (download aktuelle Versionlatest version)
Jeweils funktionsfähige Functioning IKEv2 -VPN-Verbindung von den Filialen zur Zentrale (siehe Artikel "Configuring VPN connections from each branch office to the central site (or Headquarters) (see the article “Configuring an IKEv2 VPN connection between two LANCOM routers using the Setup Wizard (IPv4)"”)

...

Scenario:

Das Szenario besteht aus zwei Filialen The scenario consists of two branches (A und and B) mit öffentlichen IPv4-Adressen sowie einer Zentrale, ebenfalls mit einer öffentlichen IPv4-Adresse.
Die beiden Filialen haben bereits einen statischen IKEv2-VPN-Tunnel zur Zentrale eingerichtet, der funktionsfähig aufgebaut ist.
Die VPN-Gegenstelle auf den Filialen heißt jeweils „ZENTRALE“.
with public IPv4 addresses and a central site (Headquarters) that also has a public IPv4 address.
The two branches have already set up a static IKEv2 VPN tunnel to the headquarters, and this is running.
The VPN peer at each of the branches is called “HEADQUARTERS”.
Branch A has the subnet Filiale A hat das Subnetz 192.168.1.0/24 mit dem Namen „INTRANET“ called “INTRANET”.Filiale B das
Subnetz Branch B has the subnet 192.168.2.0/24 mit dem Namen „INTRANET“ called “INTRANET”.

...

Procedure:

1.

...

Configuration steps at branch office A:

1.1 Legen Sie einen neuen Eintrag, z.B. „MESH-TEMPLATE“, in der IKEv2-Verbindungsliste unter VPN → IKEv2/IPSec → Verbindungs-Liste an.

Info
Dieser Eintrag dient als Vorlage, aus der die dynamischen Mesh-Tunnel ihre Parameter übernehmen.

1.2 Als Haltezeit wird die Zeit konfiguriert, nach der die Mesh-VPN-Tunnel ohne Datenverkehr getrennt werden sollen, z.B. 300 Sekunden.

Info
Eine Deaktvierung der Haltezeit über den Wert 0 wird nicht empfohlen, da dynamische Mesh-VPN-Tunnel niemals bei Inaktivität abgebaut werden und Lizenzen verbrauchen.

1.3 Das entfernte Gateway muss leer gelassen werden, da es dynamisch bestimmt wird.

1.4 Über den Parameter Routing wird das lokale Netz an die gegenüberliegende Filiale übertragen, in diesem Fall das Netz „INTRANET“.

Legen Sie dazu in der Tabelle "IPv4-Routing" unter "VPN → IKEv2/IPSec → Erweiterte Einstellungen" einen neuen Eintrag an.
Wählen Sie z.B. als Name „INTRANET-ROUTING“ und wählen Sie im Feld Netzwerk das lokale Netzwerk aus, das für Mesh VPN verwendet werden soll, z. B. „INTRANET“.

Image Removed

1.5 Wählen Sie unter Authentifizierung die Option Quelle verwalten aus.

Erzeugen Sie einen neuen Eintrag, z. B. „MESH“.
Geben Sie die lokale Identität der Filiale an, sowie den PSK, der für alle dynamischen Mesh-Tunnel verwendet wird. Der PSK muss auf allen beteiligten Filialen für den Mesh-VPN-Tunnel identisch sein.
Lassen Sie das Feld "Entfernte Identität" leer und wählen Sie die Option „Keine Identität“ für den entfernten Identitätstyp, so dass alle ankommenden Identitäten mit dem korrekten PSK als Mesh-Tunnel akzeptiert werden.

Image Removed

Create a new entry, e.g. “MESH-TEMPLATE”, in the IKEv2 connection list under VPN → IKEv2/IPsec → Connection list.

Info
This entry serves as a template from which the dynamic mesh tunnels take their parameters.

1.2 The Short hold time is the time of data inactivity after which Mesh-VPN tunnels disconnect, e.g. 300 seconds.

Info
Deactivating the short hold time by setting it to the value 0 is not recommended, otherwise dynamic Mesh-VPN tunnels will never terminate after inactivity, and this will consume licenses.

1.3 Leave the remote gateway blank as it is set dynamically.

1.4 The Routing parameter transmits the local network to the opposite branch, in this case the network “INTRANET”.

To do this, create a new entry in the “IPv4 Routing” table under VPN → IKEv2/IPsec → Extended settings.
Set the name to (e.g.) “INTRANET-ROUTING” and, in the field Network, select the local network to be used as the Mesh-VPN, for example “INTRANET”.

Image Added

1.5 Go to the Authentication settings.

Create a new entry, e.g. “MESH“.
Enter the local identifier of the branch and the PSK used for all dynamic mesh tunnels. The PSK must be identical on all branches involved in the mesh VPN tunnel.
Leave the field “Remote identifier” blank and select the option “No identity” for the Remote identifier type, so that all incoming identities with the correct PSK are accepted as mesh tunnels.

Image Added

1.6 Set the VPN rule to “ANY” or set the IPv4 rules to “RAS-WITH-NETWORK-SELECTION”. Thus uses 1.6 Setzen Sie die VPN-Regel auf „ANY“ bzw. wählen Sie für IPv4-Regeln den Eintrag „RAS-WITH-NETWORK-SELECTION“. Somit wird 0.0.0.0/0 <=> 0.0.0.0/0 verwendet.

1.7 Setzen Sie die Regelerzeugung auf „Manuell“Set Rule creation to “Manual”.

1.8 Konfigurieren Sie nun dieNow configure the Mesh-VPN -Parameter unter parameters under VPN → IKEv2/IPSec IPsec → Erweiterte Einstellungen Extended settings → Advanced Mesh VPN.

1.9 Setzen Sie die Betriebsart auf „Spoke“Set the Operation mode to “Spoke“.

1.10 Wählen Sie unter VPN-Gegenstellen-Vorlage die zuvor angelegte IKEv2-Gegenstelle als Vorlage für die Mesh-VPN-Tunnel ausUnder VPN peer template select the previously created IKEv2 peer as a template for the Mesh-VPN tunnel.

1.11 Wählen Sie unter Detektiere auf VPN-Gegenstelle den Namen der VPN-Gegenstelle aus, der dem Namen des Tunnels zur Zentrale entsprichtUnder Detect on VPN peers, select the name of the VPN peer that corresponds to the name of the tunnel to the headquarters.

1.12 Schreiben Sie die Konfiguration in den Router der Filiale A zurückWrite the configuration back to the router at branch office A.

2.

...

Configuration steps at branch office B:

2.1 Die Konfiguration erfolgt analog zur Filiale A (siehe Schritte 1 The configuration is performed similar to branch A (see steps 1.1 bis to 1.11).

2.2 Ändern Sie die lokale Identität bei der Authentifizierung entsprechend auf den Namen der Filiale Change the Local identifier for the Authentication to the name of branch B.

3.

...

Configuration steps at the headquarters:

3.1 Da die Zentrale selbst keine dynamischen Mesh-Tunnel aufbaut, wird auch keine Gegenstellen-Vorlage angelegt.1 Since the headquarters itself does not establish a dynamic mesh tunnel, there is no need to create a template for the peer.

Under Setzen Sie die Betriebsart unter VPN → IKEv2/IPSec IPsec → Erweiterte Einstellungen Extended settings → Advanced Mesh VPN auf „Hub“, set the operation mode to “Hub”.

3.2 Schreiben Sie die Konfiguration den den Router der Zentrale zurück.

Wenn Sie nun Daten von der Filiale A an Filiale B übertragen, so gehen die ersten Pakete zunächst über den Umweg der Zentrale.

Write the configuration back to the router at the headquarters.

If you now transfer data from branch A to branch B, the first packets take the detour via the headquarters.

After that, the dynamic mesh tunnel is set up between the branchesDaraufhin wird der dynamische Mesh-Tunnel zwischen den Filialen aufgebaut.

Info

A ping to the router’s IP address at the other end will not establish a mesh tunnel.

A (possibly non-existent) station in the LAN at the other end must be used as the destination

Ein Ping auf die IP-Adresse des Routers der gegenüberliegenden Seite wird keinen Mesh-Tunnel aufbauen.

Es muss eine (ggf. nicht existierende) Station im LAN der anderen Seite als Ziel verwendet werden.

Seitenhierarchie

Versionen im Vergleich

Alte Version 4

Neue Version Aktuell

Schlüssel