Versionen im Vergleich

Alte Version 11

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Seiteneigenschaften


Beschreibung:
Dieses Dokument erläutert, wie Sie eine VPN-Verbindung zwischen einem LANCOM Router und einer Digitalisierungsbox der Deutschen Telekom konfigurieren können.
Hinweis

IKEv1 wird seit 2019 durch die IETF (Internet Engineering Task Force) als veraltet (deprecated) und unsicher bezeichnet und sollte daher nicht mehr verwendet werden. LANCOM Systems empfiehlt stattdessen den aktuellen Standard IKEv2 zu verwenden.  

Die IKEv1 Funktionalität bleibt in LANCOM Geräten erhalten und kann somit weiterhin für Szenarien mit Geräten ohne IKEv2 Unterstützung verwendet werden. LANCOM Systems wird allerdings keinen Support mehr bei der Analyse von Verbindungs-Problemen mit IKEv1-Verbindungen leisten. Auch wird es für IKEv1 keine Fehlerbehebungen oder neue Features in der Firmware geben.

In Einzelfällen kann es zu Verbindungsabbrüchen während des Rekeyings kommen. In einem solchen Fall kann es sinnvoll sein, die Lifetimes anzuheben, damit die Verbindungsabbrüche nicht mehr so häufig auftreten.



Voraussetzungen:


1. Konfiguration des LANCOM Routers
1.1 Sarten Sie den Setup-Assistenten und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
Image Removed
Image Added
1.2 Im nächsten Dialog müssen Sie VPN über eine Internet-Verbindung auswählen.
Image Removed
Image Added
1.3 IPSec-over-HTTPS wird nicht verwendet.
Image Removed
Image Added
1.4 Ein ISDN-Anschluss wird in diesem Konfigurationsbeispiel nicht verwendet.
Image Removed
Image Added
1.5 Beide Seiten haben in diesem Beispiel eine feste öffentliche IP-Adresse oder einen DNS-auflösbaren Namen.
Image Removed
Image Added
1.6 Tragen Sie eine aussagekräftige Namensbezeichnung ein.
Image Removed
Image Added
1.7 Der Name der Gegenstelle soll DIGIBOX sein.
Image Removed
Image Added
1.8 Als Authentifizierungs-Art muss Gemeinsames Passwort (Preshared Key) eingestellt werden.
Image Removed
Image Added
1.9 Vergeben Sie jeweils ein sicheres Passwort sowie einen sicheren Preshared Key. Aus Sicherheitsgründen sollten unterschiedliche Werte verwendet werden.
Image Removed
Image Added
1.10 Wählen Sie den optimierten Verbindungsaufbau mit der IKE- und PFS-Gruppe 2 aus.
Image Removed
Image Added
Info:
 Ab der LCOS Version 9.20 können Sie hier nur die IKE- und PFS-Gruppe 14 oder 5 auswählen . Da die Digitalisierungsbox nur die IKE- und PFS-Verfahren 1, 2 und 5 unterstützt , empfehlen wir, an dieser Stelle zunächst die IKE- und PFS-Gruppe 14 auszuwählen und diese dann später in den Verbindungseinstellungen des LANCOM Routers im Menü VPN → IKE/IPSec → Verbindungs-Parameter auf die Gruppe 2 zu ändern.
Image Removed
Image Added
1.11 Der LANCOM Router soll die Verbindung nicht aktiv aufbauen, daher wird die Option Die Verbindung wird nur aufgebaut, wenn Daten übertragen müssen, sowie eine Haltezeit mit dem Wert 0 eingestellt.
Image Removed
Image Added
1.12 Geben Sie die Adress-Daten zur Digitalisierungsbox ein.
  • Der öffentliche DNS-Name der Digitalisierungsbox ist in diesem Beispiel digibox.ddns.net.
  • Das lokale Netzwerk der Digitalisierungsbox hat in diesem Beispiel den IP-Adresbereich 192.168.2.0/24, daher muss eine Netzmaske 255.255.255.0 eingetragen werden.
Image Removed
Image Added
1.13 Die Option Extranet-VPN wird nicht verwendet.
Image Removed
Image Added
1.14 In diesem Beispiel soll auf das entfernte NetBIOS-Netzwerk zugegriffen werden können.
Image Removed
Image Added
1.15 Aktivieren Sie im nächsten Dialog das NetBIOS-Modul.
Image Removed
Image Added
1.16 Tragen Sie den Namen der Arbeitsgruppe ein.
Image Removed
Image Added
1.17 Klicken Sie auf Fertig stellen, um den Assistenten zu beenden und die Konfiguration in den LANCOM Router zurück zu schreiben.
Image Removed
Image Added


2. Manuelle Konfigurations-Anpassungen im LANCOM Router
2.1 Öffnen Sie die Konfiguration in LANconfig und wechseln Sie in das Menü VPN → IKE/IPSec → Verbindungs-Liste.
Image Removed
Image Added
2.2 Öffnen Sie den Listeneintrag für die VPN-Verbindung zur Digitalisierungsbox und verändern Sie den Parameter für den IKE-Exchange Modus auf Aggressive Mode.
Image Removed
Image Added
2.3 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Schlüssel und Identitäten.
Image Removed
Image Added
2.4 Öffnen Sie den Listeneintrag für die VPN-Verbindung zur Digitalisierungsbox und stellen Sie die Optionen Lokaler Identität-Typ und Entfernter Identität-Typ jeweils auf dem Wert Domänen-Name (FQDN) ein.
In den Feldern für die Lokale- und Entferte-Identität müssen Sie jeweils einen beliebigen Domänen-Namen eingeben. In diesem Beispiel wird der Domänen-Name lancom.test als lokale Identität des LANCOM Routers und digibox.test als entfernte Identität der Digitalisierungsbox verwendet.
Image Removed
Image Added
2.5 Wechseln Sie in das Menü Kommunikation → Protokolle → PPP-Liste.
Image Removed
Image Added
2.6 Öffnen Sie den Listeneintrag für die PPP-Verbindung zur Digitalisierungsbox und vergeben Sie in den Feldern Zeit und Wiederholungen jeweils den Wert 0.
Image Removed
Image Added
2.7 Schließen Sie die Dialoge mit der Schaltfläche OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.
Die Konfiguration des LANCOM Routers ist damit abgeschlossen.


3. Konfiguration der VPN-Verbindung auf der Digitalisierungsbox
3.1 Öffnen Sie die Konfiguration der Digitalisierungsbox und stellen Sie den Ansichtsmodus auf Vollzugriff.
3.2. Wählen Sie im Bereich Assistenten die Option VPN aus und stellen Sie das VPN-Szenario IPSec - LAN-zu-LAN-Verbindung ein. Klicken Sie dann auf Weiter.
Image Removed
Image Added
3.3 Geben Sie im nächsten Dialog die Verbindungs-Details entsprechend der Konfiguration auf dem LANCOM Router ein:
  • Die lokale Identität der Digitalisierungsbox muss in diesem Beispiel der Domänen Name digibox.test sein (siehe auch Schritt 2.4).
  • Die entfernte Identität de s LANCOM Routers muss in diesem Beispiel der Domänen Name lancom.test sein (siehe auch Schritt 2.4).
  • Vergeben Sie den gleichen Preshared Key, den Sie bei der Konfiguration des LANCOM Routers vergeben haben (siehe Schritt 1.9).
  • Wählen Sie als IP-Version des Tunnelnetzwerks IPv4 aus.
  • Wählen Sie die lokale IP-Adresse der Digitalisierungsbox aus.
  • Die IPsec Peer IPv4-Adresse des LANCOM Routers muss eingetragen werden. In diesem Beispiel ist das der öffentliche DNS-Name lancom.dyn-dns.de.
  • In diesem Beispiel hat das lokale Netzwerk des LANCOM Routers den IP-Adressbereich 10.144.233.0/24.
Image Removed
Image Added
3.3 Wechseln Sie dann in das Menü VPN → IPSec.
Image Removed
Image Added
3.4 Wählen Sie die neu erstellte VPN-Verbindung unter IPSec-Peers aus. Diese sollte dann folgendermaßen konfiguriert sein (siehe folgende Abbildung).
Image Removed
Image Added
3.5 Klicken Sie auf das Bearbeiten-Symbol, um einige Anpassungen vorzunehmen. Wechseln Sie dann in die Ansicht Erweiterte Einstellungen.
Image Removed
Image Added
3.6 In den nächsten Schritten, müssen die Parameter im Phase 1- und Phase 2-Profil angepasst werden.
Image Removed
Image Added
3.7 Öffnen Sie zunächst die Einstellungen für das Phase 1 Profil, indem Sie auf das Bearbeiten Symbol klicken.
Image Removed
Image Added
3.8 Stellen Sie die Proposals so ein, wie es in der folgenden Abbidung dargestellt ist. Als DH-Gruppe muss die Gruppe 2 ausgewählt werden. Der IKE-Exchange Modus muss auf Aggressiv eingestellt werden.
Stellen Sie sicher, dass bei der lokalen ID der Typ FQDN sowie der richtige ID-Wert (in diesem Beispiel digibox.test) eingestellt ist.
Image Removed
Image Added
3.9 Öffnen Sie die Einstellungen für das Phase 2 Profil indem Sie auf das Bearbeiten Symbol klicken.
3.10 Stellen Sie die Proposals so ein, wie es in der folgenden Abbildung dargestellt ist. Als DH-Gruppe muss die Gruppe 2 ausgewählt werden.
Image Removed
Image Added
3.11 Speichern Sie die Einstellungen und schreiben Sie die Konfiguration in die Digitalisierungsbox zurück.
Die VPN-Verbindung zum LANCOM Router wird anschließend aufgebaut.
Info:
 Sollten beim Verbindungsaufbau Probleme auftreten oder die aufgebaute VPN-Verbindung nicht ordnungsgemäß funktionieren kann ein VPN-Status Trace bei der Diagnose helfen. Informationen erhalten Sie in diesem Knowledge Base-Artikel.
Bei Fragen zur Konfiguration der Digitalisierungsbox wenden Sie sich bitte an den Kundendienst der Deutschen Telekom.