Beschreibung: In der Regel muss für jeden VPN-Einwahl-Zugang ein eigener Benutzer angelegt werden. In größeren Szenarien ist es daher sinnvoll eine IKEv2-Verbindung mit RADIUS-Weiterleitung einzurichten. Es muss dann lediglich ein VPN-Einwahl-Zugang im Router angelegt werden. In diesem Artikel wird beschrieben wie eine eine IKEv2 Client-To-Site VPN-Verbindung zwischen einem Endgerät mit dem Advanced VPN Client und einem LANCOM Router eingerichtet werden kann. Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server. Voraussetzungen:Szenario:- Es soll eine VPN-Client-Einwahl in der Zentrale eingerichtet werden mit dem sich alle mobilen Mitarbeiter verbinden.
- Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.
- Die Zentrale hat den IP-Adressbereich 192.168.0.0/24.
 Image Removed Image AddedVorgehensweise:1. Konfigurationsschritte auf dem Router in der Zentrale: 1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN → Allgemein.  Image Removed Image Added1.2 Passen Sie folgende Parameter an: - Wählen Sie bei Virtual Private Network im Dropdownmenü Aktiviert aus.
- Setzen Sie den Haken bei NAT-Traversal aktiviert.
- Setzen Sie den Haken bei IPSec-over-HTTPS annehmen.
 Image Removed Image Added1.3 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Erweiterte Einstellungen.  Image Removed Image Added1.4 Tragen Sie in dem Feld Passwort ein Challenge-Passwort ein. Dieses erhält der RADIUS-Server im Access-Request-Attribut als Benutzer-Passwort. | Info |
|---|
Der RADIUS-Server ordnet das Challenge-Passwort im Normalfall direkt einer VPN-Gegenstelle zu. Bei IKEv2 autorisiert aber nicht der RADIUS-Server die anfragende VPN-Gegenstelle, sondern das VPN-Modul. Nachdem das VPN-Modul die Access-Accept Nachricht vom RADIUS-Server erhalten hat, authentifiziert das VPN-Modul die VPN-Gegenstelle. |
 Image Removed Image Added1.5 Wechseln Sie bei RADIUS-Authentifizierung in das Menü RADIUS-Server.  Image Removed Image Added1.6 Hinterlegen Sie folgende Parameter: - Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
 Image Removed Image Added1.7 Tragen Sie bei Update-Zyklus den Wert 60 ein, damit alle 60 Sekunden ein Update des Accounting erfolgt. | Hinweis |
|---|
Der Update-Zyklus muss auf einen Wert ungleich 0 gesetzt werden, da bei hinterlegtem Wert 0 das Update deaktiviert ist! |
 Image Removed1.8 Wechseln Sie bei RADIUS-Accounting in das Menü RADIUS-Server.  Image Removed1.9 Hinterlegen Sie folgende Parameter: - Name: Geben Sie einen aussagekräftigen Namen an.
- Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
- Port: Stellen Sie sicher, dass der Port 1813 hinterlegt ist.
 Image Removed Image Added1.10 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Authentifizierung.  Image Removed Image Added1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter: - Name: Vergeben Sie einen aussagekräftigen Namen.
- Lokaler Identitätstyp: Wählen Sie aus dem Dropdown-Menü einen Identitätstyp, etwa Fully Qualied Domain Name (FQDN).
- Lokale Identität: Vergeben Sie eine zu dem gewählten Identitätstyp passende Lokale Identität.
 Image Removed Image Added1.12 Wechseln Sie in das Menü VPN → IKEv2/IPSec → IPv4-Adressen.  Image Removed Image Added1.13 Erstellen Sie sofern noch nicht vorhanden einen neuen Eintrag für den Einwahl-Adressbereich und hinterlegen folgende Parameter: - Name: Vergeben Sie einen aussagekräftigen Namen.
- Erste Adresse: Hinterlegen Sie die erste IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Letzte Adresse: Hinterlegen Sie die letzte IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
- Erster DNS: Hinterlegen Sie die IP-Adresse eines DNS-Servers. Dieser wird den VPN-Clients als erster DNS-Server zugewiesen. Im Regelfall wird die IP-Adresse des Routers verwendet.
 Image Removed Image Added1.14 Wechseln Sie in das Menü VPN → IKEv2/IPSec → Verbindungsliste.  Image Removed Image Added1.15 Bearbeiten Sie den Eintrag DEFAULT und ändern folgende Parameter: - Authentifizierung: Wählen Sie im Dropdown-Menü das in Schritt 1.11 erstellte Authentifizierungs-Objekt aus.
- IPv4-Regeln: Wählen Sie im Dropdown-Menü das Objekt RAS-WITH-NETWORK-SELECTION aus.
- IKE-CFG: Wählen Sie im Dropdown-Menü Server aus.
- IPv4-Adress-Pool: Wählen Sie im Dropdown-Menü das in Schritt 1.13 erstellte Einwahl-Adress-Objekt aus.
- RADIUS-Auth.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.6 erstellte RADIUS-Objekt aus.
- RADIUS-Acc.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.9 erstellte Accounting-Objekt aus.
| Info |
|---|
Die Anpassung des Profils DEFAULT hat keine Auswirkungen auf bereits bestehende Einwahl-VPN-Verbindungen. |
 Image Removed Image Added1.16 Wechseln Sie in das Menü RADIUS → Server und setzen jeweils einen Haken bei RADIUS-Authentisierung aktiv und bei RADIUS-Accounting aktiv.  Image Removed1.17 Wechseln Sie in das Menü RADIUS-Dienste Ports.  Image Removed Image Added1.18 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.  Image Removed Image Added1.19 Wechseln Sie in das Menü Benutzerkonten.  Image Removed Image Added1.20 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter: - Name / MAC-Adresse: Vergeben Sie einen aussagekräftigen Namen.
- Passwort: Hinterlegen Sie das in Schritt 1.4 vergebene Challenge-Passwort.
- Tunnel-Passwort: Vergeben Sie ein Passwort, mit dem der Einwahl-Benutzer sich am VPN-Modul authentifiziert.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus.
- Deaktivieren Sie die Mehrfache Anmeldung.
| Info |
|---|
Optional können Sie in dem Feld Attributwerte dem VPN-Client mit dem Parameter Framed-IP-Address eine feste IP-Adresse zuweisen. Diese muss in der Syntax Framed-IP-Address=<IP-Adresse> angegeben werden (z.B. Framed-IP-Address=192.168.0.33). Die IP-Adresse muss sich innerhalb des in Schritt 1.13 gewählten IPv4-Adress-Pools befinden. Durch die Zuweisung einer festen IP-Adresse ist es möglich, einzelnen Benutzern individuelle Berechtigungen über die Firewall zu erteilen. |
 Image Removed Image Added
1.20 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration des Routers ist damit abgeschlossen.
2. Konfigurationsschritte im Advanced VPN Client: 2.1 Öffnen Sie den Advanced VPN Client und wechseln in das Menü Konfiguration → Profile.  Image Removed Image Added2.2 Klicken Sie auf Hinzufügen/Import, um einen neuen VPN-Zugang zu erstellen.  Image Removed Image Added2.3 Wählen Sie Verbindung zum Firmennetz über IPSec.  Image Removed Image Added2.4 Vergeben Sie einen aussagekräftigen Namen.  Image Removed Image Added2.5 Wählen Sie das Verbindungsmedium aus. | Info |
|---|
Werden wechselnde Verbindungsmedien verwendet (z.B. LAN und WLAN), verwenden Sie das Verbindungsmedium automatisch. |
 Image Removed2.6 Geben Sie die öffentliche IP-Adresse oder den DynDNS-Namen der Zentrale an.  Image Removed2.7 Setzen Sie den Austausch-Modus auf IKEv2 und die PFS-Gruppe auf DH14 (modp2048).  Image Removed2.8 Hinterlegen Sie folgende Parameter: - Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
- ID: Hinterlegen Sie den in Schritt 1.20 vergebenen Namen / MAC-Adresse.
- Shared Secret: Hinterlegen Sie das in Schritt 1.20 vergebene Tunnel-Passwort.
 Image Removed Image Added2.9 Wählen Sie im Dropdown-Menü IKE Config Mode verwenden aus, damit dem VPN-Client die IP-Adresse automatisch durch den Router zugewiesen wird.  Image Removed Image Added2.10 Hinterlegen Sie zwecks Verwendung der Funktion Split-Tunneling das Zielnetz, welches über den VPN-Tunnel erreicht werden soll. | Hinweis |
|---|
Ohne konfiguriertes Split-Tunneling wird bei aufgebautem VPN-Tunnel aller Datenverkehr über den VPN-Tunnel übertragen, also auch der für das lokale Netzwerk oder das Internet bestimmte Datenverkehr. Dies kann zu Kommunikations-Problemen führen! |
 Image Removed Image Added2.11 Die Konfigurationsschritte im Advanced VPN Client sind damit abgeschlossen.
3. Informationen zu den verbundenen Clients im Router einsehen (optional): Zusätzliche Informationen (u.A. zugewiesene IP-Adresse und Verbindungszeit) zu den verbundenen VPN-Clients können Sie über den folgenden Konsolen-Befehl einsehen: ls Status/TCP-IP/RADIUS-Server/Accounting/Completed-Accounting-Sessions/ | Info |
|---|
Folgende Parameter sind zur weiteren Analyse interessant: - User-Name: Benutzername
- Start-Time: Login-Zeit
- Stop-Time: Logout-Zeit
- Session-Time: Verbindungszeit in Sekunden
- IP-Address: Zugewiesene IP-Adresse
Die Tabelle kann maximal 128 Einträge fassen. Nach Erreichen des Limits wird jeweils der älteste Eintrag überschrieben. Die Tabelle ist nicht bootpersistent und wird durch einen Kaltstart gelöscht. |
 | 