Beschreibung: Dieses Dokument beschreibt anhand eines Beispiels, wie Sie eine VPN-Verbindung zwischem einem LANCOM Router und einer FRITZ!Box erstellen, über welche zwei lokale Netzwerke gekoppelt werden können. Voraussetzungen:Szenario:- Der LANCOM Router besitzt die öffentliche IP-Adresse 82.82.82.82 und das lokale Netzwerk den Adressbereich 192.168.7.0/24.
- Die FRITZ!Box auf der Gegenseite besitzt die öffentliche IP-Adresse 81.81.81.81. Das lokale Netzwerk besitzt den Adressbereich 192.168.192.0/24.
- Beide lokale Netzwerke sollen über eine IKEv1 VPN-Verbindung im Main-Mode gekoppelt werden. Es sollen alle Geräte in den jeweiligen lokalen Netzwerken erreicht werden können.
Vorgehensweise:1. Konfiguration der VPN-Verbindung auf dem LANCOM Router: 1.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü VPN → Allgemein. 1.2 Aktivieren Sie die Funktion Virtual Private Network. 1.3 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Proposals. 1.4 Erstellen Sie ein neues IKE-Proposal mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für das neue Proposal.
- Verschlüsselung: Wählen Sie AES-CBC aus.
- Schlüssel-Länge: Hier muss der Wert 256 bit eingetragen sein.
- Hash: Als Hash-Algorythmus wird SHA1 eingestellt.
- Authentifizierung: Hier muss Preshared Key eingestellt werden.
- Gültigkeitsdauer: Vergeben Sie eine Dauer von 3600 Sekunden und 0 kBytes.
1.5 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Proposal-Listen. 1.6 Erstellen Sie eine neue IKE-Proposal-Liste mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für die neue Liste.
- Proposal: Wählen Sie das in Schritt 1.4 erstellte IKE-Proposal aus.
1.7 Wechseln Sie in das Menü VPN → IKE/IPSec → IPSec-Proposals. 1.8 Erstellen Sie ein neues IPSec-Proposal mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für das neue Proposal.
- Modus: Wählen Sie Tunnel aus.
- Verschlüsselung: Wählen Sie AES-CBC aus.
- Schlüssel-Länge: Hier muss der Wert 256 bit eingetragen sein.
- Authentifizierung: Hier muss HMAC-SHA1 eingestellt werden.
- Authentifizierung (AH-Proposal): Hier muss Kein AH eingestellt werden.
- Kompression: Es wird kein IPCOMP verwendet.
- Gültigkeitsdauer: Vergeben Sie eine Dauer von 7.200 Sekunden und 2.000.000 kBytes.
Info |
---|
Der Modus "Transport" ist in LCOS 10.40 weggefallen, sodass ab dieser Version immer der Modus "Tunnel" verwendet wird. |
![](https://support.lancom-systems.com/knowledge/download/attachments/32984179/50.1C6.jpg?version=7&modificationDate=1572080884110&api=v2)
1.9 Wechseln Sie in das Menü VPN → IKE/IPSec → IPSec-Proposal-Listen. 1.10 Erstellen Sie eine neue IPSec-Proposal-Liste mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für die neue Liste.
- Proposal: Wählen Sie das in Schritt 1.8 erstellte IPSec-Proposal aus.
1.11 Wechseln Sie in das Menü VPN → IKE/IPSec → IKE-Schlüssel & Identitäten. 1.12 Erstellen Sie einen neuen Eintrag mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für den neuen Eintrag.
- Preshared Key: Vergeben Sie ein komplexes Passwort, welches als Preshared Key verwendet werden soll.
- Lokaler Identität-Typ: Hier muss die Option Keine Identität ausgewählt werden.
- Lokale-Identität: Dieses Feld muss leer bleiben.
- Entfernter Identität-Typ: Hier muss die Option Keine Identität ausgewählt werden.
- Entfernte-Identität: Dieses Feld muss leer bleiben.
1.13 Wechseln Sie in das Menü VPN → IKE/IPSec → Verbindungs-Parameter. 1.14 Erstellen Sie einen neuen Eintrag mit folgenden Werten: - Bezeichnung: Vergeben Sie einen eindeutigen Namen für den neuen Eintrag.
- PFS-Gruppe: Hier wird die Gruppe 14 ausgewählt.
- IKE-Gruppe: Hier wird die Gruppe 14 ausgewählt.
- IKE-Proposals: Hier muss die in Schritt 1.6 erstellte IKE-Proposal-Liste ausgewählt werden.
- IKE-Schlüssel: Hier muss der in Schritt 1.12 erstellte Eintrag ausgewählt werden.
- IPSec-Proposals: Hier muss die in Schritt 1.10 erstellte IPSec-Proposal-Liste ausgewählt werden.
1.15 Wechseln Sie in das Menü VPN → IKE/IPSec → Verbindungs-Liste. 1.16 Erstellen Sie einen neuen Eintrag mit folgenden Werten: - Name der Verbindung: Vergeben Sie einen eindeutigen Namen für den neuen Eintrag.
- Haltezeit: Hier wird der Wert 0 eingestellt. Das bedeutet, dass der LANCOM Router die VPN-Verbindung nicht aktiv aufbaut, sondern eine Anfrage zum Verbindungsaufbau von der FRITZ!Box annimmt.
- Dead Peer Detection: Hier muss ein Wert von 60 Sekunden eingetragen sein.
- Entferntes Gateway: Tragen Sie hier die öffentliche IP-Adresse oder die öffentliche DNS-Adresse der FRITZ!Box ein.
- Verbindungs-Parameter: Hier müssen Sie das in Schritt 1.14 erstellte Profil auswählen.
- Es wird kein dynamisches VPN verwendet.
- Als IKE-Exchange Modus muss Main-Mode ausgewählt werden.
- Regelerzeugung: Hier muss die Option Manuell ausgewählt werden.
1.17 Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln. 1.18. Erstellen Sie eine neue Firewall-Regel mit folgenden Parametern: - In der Registerkarte Allgemein vergeben Sie einen Namen für die Regel und legen fest, dass diese Regel zum Erzeugen von VPN-Netzbeziehungen (SAs) verwendet wird.
- In der Registerkarte Aktionen muss die Aktion ACCEPT eingestellt werden.
- In der Registerkarte Stationen müssen Sie im oberen Feld das Objekt LOCALNET einstellen. Im unteren Feld muss die im Schritt 1.16 erstellte VPN-Gegenstelle ausgewählt werden.
- In der Registerkarte Dienste bleiben die Standard-Einstellungen erhalten.
1.19 Wechseln Sie in das Menü IP-Router → Routing → IPv4-Routing-Tabelle. 1.20 Erstellen Sie eine Route, welche auf das lokale Netzwerk der Gegenseite verweist. - In diesem Beispiel ist dies das Netzwerk mit dem IP-Adressbereich 192.168.192.0/24.
- Als Router muss die im Schritt 1.16 erstellte VPN-Gegenstelle ausgewählt werden.
1.21 Schließen Sie die Dialoge mit der Schaltfläche OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.
2. Konfiguration der VPN-Verbindung auf der FRITZ!Box: 2.1 Verwenden Sie die folgende Konfigurations-Datei und passen Sie diese in einem Text-Editor in folgenden Punkten individuell an: View file |
---|
name | fritzbox_DH14AES256-20171128.cfg |
---|
height | 150 |
---|
|
- name: Hier müssen Sie einen Namen für die VPN-Verbindung eintragen.
- always_renew: Tragen Sie hier yes ein, damit die FRITZ!Box die VPN-Verbindung nach einem Verbindungsabbruch aktiv aufbauen kann.
- remoteip: Tragen Sie hier die öffentliche IP-Adresse des LANCOM Routers ein. In diesem Beispiel ist das die Adresse 82.82.82.82.
- mode: Da in diesem Beispiel eine Main-Mode Verbindung aufgebaut wird, müssen Sie hier den Wert phase1_mode_idp eintragen.
- phase1ss: Geben Sie hier den Parameter dh14/aes/sha ein.
- keytype: Hier muss der Wert connkeytype_pre_shared. Damit legen Sie fest, dass ein Preshared-Key verwendet wird.
- key: Tragen Sie hier den gleichen Preshared-Key ein, welchen Sie im Schritt 1.12 vergeben haben.
- phase2localid: Tragen Sie hier den Adressbereich des lokalen Netzwerkes der FRITZ!Box sowie die zugehörige Netzmaske ein. In diesem Beispiel ist das der Adressbereich 192.168.192.0 und die Netzmaske 255.255.255.0.
- phase2remoteid: Tragen Sie hier den Adressbereich des lokalen Netzwerkes vom LANCOM Router sowie die zugehörige Netzmaske ein. In diesem Beispiel ist das der Adressbereich 192.168.7.0 und die Netzmaske 255.255.255.0.
- phase2ss: Tragen Sie hier den Parameter esp-aes256-3des-sha/ah-no/comp-lzs-no/pfs ein.
- accesslist: Da alle Geräte des Netzwerkes auf der Gegenseite erreicht werden sollen, muss hier der Parameter permit ip any 192.168.7.0 255.255.255.0 eingetragen werden.
![](https://support.lancom-systems.com/knowledge/download/attachments/32984179/138.4242.jpg?version=7&modificationDate=1572080886148&api=v2) 2.2 Öffnen Sie die Konfigurationsoberfläche der FRITZ!Box und wechseln Sie in das Menü Internet → Freigaben → VPN. 2.3 Fügen Sie eine neue VPN-Verbindung hinzu. 2.4 Wählen Sie die Option Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren. Klicken Sie dann auf Weiter. 2.5 Laden Sie die erstellte Konfigurations-Datei in die FRITZ!Box. 2.6 Nachdem die Konfigurations-Datei in die FRITZ!Box geladen wurde, wird die VPN-Verbindung zum LANCOM Router aufgebaut. |