Versionen im Vergleich

Alte Version 2

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 3

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

1.1.1 Verbinden Sie sich per Web-Browser mit der Unified Firewall in der Zentrale, wechseln in das Menü Zertifikatsverwaltung Certificate Management ZertifikateCertificates und klicken auf das "Plus-Symbol", um ein neues Zertifikat zu erstellen. 

...

1.1.2 Erstellen Sie als Erstes eine CA (Certificate Authority). Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen Create:

  • ZertifikatstypType: Wählen Sie im Dropdownmenü die Option CA für for VPN-/Webserver -Zertifikat ausCertificate aus.
  • Private - Key -VerschlüsselungEncryption: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private - Key -GrößeSize: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für die CA (in diesem Beispiel IKEv2_CA).
  • GültigkeitValidity: Wählen Sie eine Laufzeit für die CA aus. Eine CA soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • Private - Key -PasswortPassword: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key der CA zu verschlüsseln.

...

1.1.3 Erstellen Sie anschließend ein VPN-Zertifikat für die Zentrale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen Create:

  • ZertifikatstypType: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
  • Signierende Signing CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • Private - Key -VerschlüsselungEncryption: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private - Key -GrößeSize: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Zentrale (in diesem Beispiel IKEv2_Zentrale).
  • GültigkeitValidity: Wählen Sie eine Laufzeit für das Zertifikat aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung soll üblicherweise eine lange Laufzeit haben, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • CA -PasswortPassword: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
  • Private - Key -PasswortPassword: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key des VPN-Zertifikats zu verschlüsseln.

...

1.1.4 Erstellen Sie abschließend ein VPN-Zertifikat für die Filiale. Passen Sie dazu die folgenden Parameter an und klicken auf Erstellen Create:

  • ZertifikatstypType: Wählen Sie im Dropdownmenü die Option VPN-Zertifikat aus.
  • Signierende Signing CA: Wählen Sie im Dropdownmenü die in Schritt 1.1.2 erstellte CA aus.
  • Private - Key -VerschlüsselungEncryption: Stellen Sie sicher, dass die Option RSA ausgewählt ist.
  • Private - Key -GrößeSize: Wählen Sie im Dropdownmenü die Option 4096 Bit aus.
  • Common Name (CN): Vergeben Sie einen aussagekräftigen Common Name für das Zertifikat der Filiale (in diesem Beispiel IKEv2_Filiale).
  • GültigkeitValidity: Wählen Sie eine Laufzeit für die CA aus. Eine VPN-Zertifikat für eine Site-to-Site VPN-Verbindung, daher wird diese in diesem Beispiel auf 5 Jahre gesetzt.
  • CA -PasswortPassword: Hinterlegen Sie das in Schritt 1.1.2 vergebene Private-Key-Passwort.
  • Private - Key -PasswortPassword: Vergeben Sie ein Passwort für den Private Key. Dieses dient dazu den Private Key des VPN-Zertifikats zu verschlüsseln.

...

1.1.6 Wählen Sie als Format die Option PKCS #12 aus, tragen die Passwörter ein und klicken auf Exportieren Export:

  • Private - Key -PasswortPassword: Tragen Sie das Private-Key-Passwort ein, welches Sie in Schritt 1.1.4 vergeben haben.
  • Transport -PasswortPassword: Tragen sie ein Passwort ein. Dieses wird beim Import des Zertifikates auf der Unified Firewall in der Filiale benötigt (siehe Schritt 2.1.2).

...

1.1.8 Wählen Sie als Format die Option PEM aus und klicken auf Exportieren Export.


1.2 Einrichtung der VPN-Verbindung:

1.2.1 Wechseln Sie in das Menü VPN → IPSec → IPSec -EinstellungenSettings.

1.2.2 Aktivieren Sie die IPSec-Funktionalität über den Schieberegler und klicken auf Speichern Save.

1.2.3 Wechseln Sie in das Menü VPN → IPSec → VerbindungenConnections und klicken auf das "Plus-Symbol", um eine neue VPN-Verbindung zu erstellen.

...

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_FilialeOffice).
  • Sicherheits-ProfilSecurity Profile: Wählen Sie im Dropdownmenü das Sicherheits-Profil LANCOM LCOS Default IKEv2 aus. Bei Bedarf können Sie auf beiden Seiten auch ein anderes Profil verwenden.
  • VerbindungConnection: Wählen Sie im Dropdownmenü die Internet-Verbindung aus (in diesem Beispiel Internet).
  • Remote - Gateway: Geben Sie die IP-Adresse oder den DNS-Namen der Unified Firewall in der Filiale an (in diesem Beispiel die IP-Adresse 80.80.80.80).

...

1.2.5 Wechseln Sie in den Reiter Tunnel Tunnels und passen die folgenden Parameter an:

  • Lokale NetzwerkeLocal Networks: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Zentrale in CIDR-Schreibweise (in diesem Beispiel also 192.168.1.0/24). 
  • Remote NetzwerkeNetworks: Hinterlegen Sie über das "Plus-Symbol" die Netz-Adresse des lokalen Netzwerks der Filiale in CIDR-Schreibweise (in diesem Beispiel also 192.168.2.0/24). 

...

1.2.6 Wechseln Sie in den Reiter AuthentifizierungAuthentication, passen die folgenden Parameter an und klicken auf Erstellen Create:

  • AuthentifizierungstypAuthentication Type: Stellen Sie sichder, dass im Dropdownmenü die Option Zertifikat ausgewählt ist.
  • Lokales ZertifikatLocal Certificate: Wählen Sie im Dropdownmenü das in Schritt 1.1.3 erstellte Zertifikat für die Zentrale aus.
  • Erweiterte AuthentifizierungExtended Authentication: Stellen Sie sicher, dass die Option Keine erweiterte Authentifizierung ausgewählt No Extended Authentication ausgewählt ist.
  • Remote -ZertifikatCertificate: Wählen Sie im Dropdownmenü das in Schritt 1.1.4 erstellte Zertifikat für die Filiale aus.

...

1.2.7 Klicken Sie auf das Symbol zum Erstellen eines VPN-Netzwerks Create a VPN network.

1.2.8 Passen Sie die folgenden Parameter an und klicken auf Erstellen Create:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die VPN-Verbindung (in diesem Beispiel IKEv2_FilialeOffice).
  • VerbindungstypConnection Type: Wählen Sie die Option IPSec aus.
  • IPSec -VerbindungConnection: Wählen Sie im Dropdownmenü die in Schritt 1.2.4 - 1.2.6 erstellte VPN-Verbindung aus.

...

1.3.2 Wählen Sie auf der rechten Seite die erforderlichen Protokolle aus und fügen diese über die "Plus-Symbole" hinzu.

 

1.3.3 Klicken Sie auf Erstellen Create, um die Firewall-Regel anzulegen.

...

1.3.4 Die Konfiguration der Unified Firewall in der Zentrale ist damit abgeschlossen. Klicken Sie auf Aktivieren Activate, damit die auf dem Desktop vorgenommenen Änderungen umgesetzt werden.

...