In diesem Dokument ist beschrieben, wie eine IKEv2-Verbindung (Site-to-Site) zwischen einem LANCOM Router und einer LANCOM R&S®Unified Firewall eingerichtet werden kann.
Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
Beliebiger Browser für den Zugriff auf das Webinterface
Web-Browser zur Konfiguration der Unified Firewall.
Es werden folgende Browser unterstützt:
Google Chrome
Chromium
Mozilla Firefox
Szenario:
1. Die Unified Firewall ist direkt mit dem Internet verbunden und verfügt über eine öffentliche IPv4-Adresse:
Ein Unternehmen möchte seine Filiale, in welcher ein LANCOM Router als Internet-Gateway verwendet wird, per IKEv2 Site-To-Site Verbindung mit der Firmenzentrale verbinden.
Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und eine Internetverbindung mit der festen öffentlichen IP-Adresse 81.81.81.81.
Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Firmenzentrale aufbauen.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.
Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.50.0/23.
Image Removed
Image Added
2. Die Unified Firewall geht über einen vorgeschalteten Router ins Internet:
Ein Unternehmen möchte seine Filiale, in welcher ein LANCOM Router als Internet-Gateway verwendet wird, per IKEv2 Site-To-Site Verbindung mit der Firmenzentrale verbinden.
Die Firmenzentrale verfügt über eine Unified Firewall als Gateway und einen vorgeschalteten Router, welcher die Internet-Verbindung herstellt. Der Router die feste öffentliche IP-Adresse 81.81.81.81.
Der LANCOM Router in der Filiale soll die VPN-Verbindung zur Firmenzentrale aufbauen.
Das lokale Netzwerk der Zentrale hat den IP-Adressbereich 192.168.66.0/24.
Das lokale Netzwerk der Filiale hat den IP-Adressbereich 192.168.50.0/23.
Info: Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben.
Image Removed
Image Added
Vorgehensweise:
Die Einrichtung ist bei Szenario 1 und 2 grundsätzlich gleich. Bei Szenario 2 muss zusätzlich ein Port- und Protokollforwarding auf dem vorgeschalteten Router eingerichtet werden (siehe Abschnitt 3).
1. Konfigurationsschritte auf der Unified Firewall:
1.1 Verbinden Sie sich mit der Konfigurationsoberfläche der Unified Firewall und wechseln auf VPN
->
→ IPSec-Einstellungen.
Image Removed
Image Added
1.2 Aktivieren Sie IPSec.
Image Removed
Image Added
1.3 Wechseln Sie auf VPN
->
→ IPSec-Verbindungen und klicken auf das "Plus-Symbol", um eine neue IPSec-Verbindung zu erstellen.
Image Removed
Image Added
1.4 Hinterlegen Sie folgende Parameter:
Name: Vergeben Sie einen aussagekräftigen Namen.
Verbindungstyp
Sicherheits-Profil: Wählen Sie
Site-to-Site
das Profil LANCOM LCOS Default IKEv2 aus.
Netzwerk-
Verbindung: Wählen Sie im Dropdown-Menü die Netzwerk-Verbindung aus, welches für die Internet-Verbindung verwendet wird.
Lokales Netzwerk: Hinterlegen Sie das lokale Netzwerk in CIDR-Schreibweise (Classless Inter-Domain Routing).
Fremdes Netzwerk: Hinterlegen Sie das fremde Netzwerk in CIDR-Schreibweise (Classless Inter-Domain Routing).
Aktivieren Sie die Option Dynamisches Ziel.
Da die Unified Firewall in diesem Konfigurationsbeispiel die VPN-Verbindung annehmen soll, müssen Sie Auf Verbindung warten auswählen.
Remote Gateway: Tragen Sie die öffentliche IP- oder DNS-Adresse des LANCOM Routers ein.
1.5 Wechseln Sie in den Reiter Tunnel und hinterlegen folgende Parameter:
Lokale Netzwerke: Geben Sie hier (in CIDR-Notation) die lokalen Netzwerke an, welche von der Gegenstelle erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Zentrale mit dem Adressbereich 192.168.66.0/24.
Remote-Netzwerke: Geben Sie hier (in CIDR-Notation) die entfernten Netzwerke an, welche von der Firewall erreicht werden sollen. In diesem Beispiel das lokale Netzwerk der Filiale mit dem Adressbereich 192.168.50.0/23.
Aktivieren Sie die Option IKEv2-Kompatibilitätsmodus.
Hinweis
Die Option IKEv2-Kompatibilitätsmodus muss zwingend aktiviert werden, wenn auf einer oder beiden Seiten mehr als ein Netzwerk verwendet wird. Ohne diese Option ist der VPN-Tunnel nicht funktionsfähig!
Daher empfiehlt LANCOM Systems die Option IKEv2-Kompatibilitätsmodus bei einer VPN-Verbindung zwischen LANCOM Router und Unified Firewall pauschal zu aktivieren.
Image Added
1.6
Image Removed
1.5
Wechseln Sie in den Reiter Authentifizierung und hinterlegen folgende Parameter:
Authentifizierungstyp: Wählen Sie hier die Option PSK
only
(Preshared Key) aus.
PSK (Preshared Key): Vergeben Sie einen Preshared Key für diese Verbindung.
Local
Lokaler Identifier: Vergeben Sie die Lokale Identität.
Remote Identifier: Vergeben Sie die Entfernte Identität.
Wichtig:
Hinweis
Der Local und Remote Identifier dürfen nicht übereinstimmen!
Image Removed
Image Added
1.
6 Wechseln Sie in den Reiter ISAKMP (IKE) und wählen bei IKE Version den Typ IKEv2 aus.
Die restlichen Parameter verbleiben auf den Standard-Werten.
Image Removed
1.
7 Klicken Sie auf das Symbol zum Erstellen eines neuen VPN-Hosts.
Image Removed
Image Added
1.8 Hinterlegen Sie folgende Parameter:
Name: Vergeben Sie einen aussagekräftigen Namen.
VPN-Verbindungstyp: Wählen Sie den Typ IPSec.
IPSec-Verbindung: Wählen Sie im Dropdownmenü bei IPSec die in Schritt 1.4 -1.6 erstellte VPN-Verbindung aus.
Image Removed
Image Added
1.9 Klicken Sie in dem VPN-Host auf das "Verbindungswerkzeug" und klicken anschließend auf das Netzwerk-Objekt, auf welches das Objekt (die eingerichtete Site-to-Site Verbindung) zugreifen können soll, damit die Firewall-Objekte geöffnet werden. Wiederholen Sie diesen Schritt für jedes weitere Netzwerk, in welches die Filiale Zugriff haben soll.
Image Removed
Image Added
1.10 Weisen Sie über die "Plus-Zeichen" die erforderlichen Protokolle dem VPN-Host zu.
Info:
Info
Eine Unified Firewall verwendet eine Deny-All Strategie. Die Kommunikation muss also explizit erlaubt werden.
Image Removed
Image Added
Info:
Info
Die Firewall-Objekte können Sie auch
über
über Desktop
->
→ Desktop-
Verbindungen
Verbindungen aufrufen, indem Sie auf das "Bearbeiten-Symbol" klicken.
1.11 Klicken Sie zuletzt in der Firewall auf Aktivieren, damit die Konfigurations-Änderungen umgesetzt werden.
Image Removed
Image Added
1.12 Die Konfigurationsschritte auf der Unified Firewall sind damit abgeschlossen.
2. Konfigurationsschritte im LANCOM Router:
2.1 Starten Sie den Setup-Assistent und wählen Sie die Option Zwei lokale Netze verbinden (VPN).
2.2 Wählen Sie die Option IKEv2 aus,
Image Removed
Image Added
2.3 IPSec-over-HTTPS muss deaktiviert sein.
Image Removed
Image Added
2.4 Vergeben Sie einen Namen für die neue VPN-Gegenstelle.
Image Removed
Image Added
2.5 Tragen Sie die Bezeichnung der lokalen Identität ein, welche Sie im Schritt 1.
5
6 als Remote Identifier konfiguriert haben.
Als entferntes Passwort muss der im Schritt 1.
5
6 vergebenePreshared Key eingetragen werden.
Image Removed
Image Added
2.6 Tragen Sie die Bezeichnung der entfernten Identität ein, welche Sie im Schritt 1.
5
6 als Local Identifier konfiguriert haben.
Als entferntes Passwort muss der im Schritt 1.
5
6 vergebenePreshared Key eingetragen werden.
Image Removed
Image Added
2.7 In diesem Beispiel soll die Filiale die VPN-Verbindung zur Zentrale aufbauen.
Image Removed
Image Added
2.8 Tragen Sie die öffentliche IP-Adresse der Unified Firewall (oder des vorgeschalteten Routers) in das Feld Gateway ein.
In den Feldern Adresse und Netzmaske müssen Sie den LAN-Adressbereich der Zentrale (192.168.66.0) sowie die zugehörige Netzmaske eintragen.
Image Removed
Image Added
2.9 Klicken Sie auf Fertig stellen, um die Konfiguration in den LANCOM Router zurück zu schreiben.
Image Removed
Image Added
3. Einrichtung eines Port- und Protokoll-Forwarding auf einem LANCOM Router (nur Szenario 2):
Für IPSec werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP benötigt. Diese müssen auf die Unified Firewall weitergeleitet werden.
Werden die UDP-Ports 500 und 4500 weitergeleitet, wird das Protokoll ESP automatisch mit weitergeleitet.
Info:
Info
Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.
Wichtig:
Hinweis
Werden die UDP-Ports 500 und 4500 sowie das Protokoll ESP auf die Unified Firewall weitergeleitet, kann eine IPSec-Verbindung auf dem LANCOM Router nur noch verwendet werden, wenn diese in HTTPS gekapselt wird (IPSec-over-HTTPS). Ansonsten kann keine IPSec-Verbindung mehr aufgebaut werden!
3.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IP-Router
->
→ Maskierung
->
→ Port-Forwarding-Tabelle.
Image Removed
Image Added
3.2 Hinterlegen Sie folgende Parameter:
Anfangs-Port: Hinterlegen Sie den Port 500.
End-Port: Hinterlegen Sie den Port 500.
Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router.
Protokoll: Wählen Sie im Dropdown-Menü UDP aus.
Image Removed
Image Added
3.3 Erstellen Sie einen weiteren Eintrag und hinterlegen den UDP-Port 4500.
Image Removed
Image Added
3.4 Schreiben Sie die Konfiguration in den Router zurück.
