Beschreibung:Es soll eine VPN Einwahlverbindung mit dem LANCOM Advanced VPN-Client zu einer LANCOM Gegenstelle aufgebaut werden. Diese Verbindung soll erst nach Eingabe eines zusätzlich einzugebenden Benutzernamens und Passworts aufgebaut werden.
Voraussetzungen:- Für den vorliegenden Aufbau wird von einer bereits konfigurierten VPN Einwahl-Verbindung ohne XAUTH-Erweiterung ausgegangen. Informationen zum Erstellen einer VPN-Clientverbindung mit dem LANCOM Advanced VPN Client über den Setup-Assistenten erhalten Sie in diesem Knowledge Base-Dokument.
Vorgehensweise:Konfigurationsschritte auf dem LANCOM-Router:1. Öffnen Sie die Konfiguration in LANconfig und wechseln Sie in das Menü
Konfiguration -> VPN -> Allgemein-> Verbindungs-Liste.
2. Markieren Sie den Eintrag für die VPN-Clientverbindung in der Liste und klicken Sie auf
Bearbeiten.
3. Wählen Sie im Feld
XAUTH die Option
Server aus. Schließen Sie den Dialog dann mit der Schaltfläche
OK.
4. Wechseln Sie in das Menü
Konfiguration -> VPN -> IKE-Auth.-> IKE-Schlüssel und Identitäten.5. Öffnen Sie den Eintrag für die VPN-Clientverbindung in der Liste und wählen Sie in den Feldern
Lokaler Identität-Typ und
Entfernter Identität-Typ jeweils die Option
Key-ID (Gruppenname). In den Feldern
Lokale Identität und
Entfernte Identität müssen Sie dann einen Wert eintragen (z.B. das Wort
zentrale).
6. Um für XAUTH die Abfrage eines Benutzernamens und Passwortes zu ermöglichen, muss in der PPP-Liste unter
Konfiguration -> Kommunikation -> Protokolle-> PPP-Liste ein Eintrag hinzugefügt werden.
7. Hier wird als
Gegenstelle-Name der Name der benutzten VPN-Verbindung aus der Verbindungs-Liste im Drop-Down Menü ausgewählt. Die Angabe eines
Benutzernamens erfolgt nicht. Im Feld für das
Passwort muss ein Kennwort eingetragen werden. Zum Schluss muss noch das
IP-Routing aktiviert werden.
8. Schließen Sie die Dialoge mit der Schaltfläche
OK und schreiben Sie die geänderte Konfiguration in den LANCOM-Router zurück.
Konfigurationsschritte im LANCOM Advanced VPN-Client:1. Öffnen Sie das VPN-Clientprofil im Menu
Konfiguration -> Profile.
2. Wechseln Sie in das Menü
Identität. Im Bereich
Lokale Identität (IKE) müssen Sie die Option
Freier String für Gruppen-Identifizierung einstellen und
im Feld ID den Wert eintragen, welchen Sie im
Router-Konfigurationsschritt 5 vergeben haben. In diesem Beispiel ist das
zentrale.
3.
Aktivieren Sie zusätzlich die Option
Extended Authentication (XAUTH). Die Felder für
Benutzername und
Passwort müssen nicht ausgefüllt werden, dies hat zur Folge, dass die Anmeldedaten bei jedem Aufbau der VPN-Verbindung angegeben werden müssen.
4. Speichern Sie das geänderte Profil mit der Schaltfläche
OK.
5. Bevor die VPN-Verbindung aufgebaut wird, erscheint ein Dialog zur
Abfrage der Benutzerdaten. Hier müssen Sie als
Benutzername den im
Router-Konfigurationsschritt 7 ausgewählten
VPN-Gegenstellennamen eintragen
. Als
Passwort muss das im
Router-Konfigurationsschritt 7 vergebene
Kennwort eingegeben werden.
Ergänzende Information:Durch XAUTH wird nicht die VPN-Verbindung selbst sicherer. Mit der Erweiterung kann jedoch verhindert werden, dass sich Unbefugte Zugang zum Firmennetz verschaffen, indem sie nicht gesperrte oder passwortgecrackte Geräte verwenden. Gerade Windows bietet nur einen relativ geringen Passwortschutz für seine Benutzer an. Hat man das Benutzerpasswort umgangen, kann immer noch keine Verbindung zum Firmennetzwerk aufgebaut werden.
XAUTH kann auch zusammen mit Zertifikaten genutzt werden. Auch in diesem Falle bleibt die XAUTH Konfiguration gleich. Es ändern sich nur die entsprechenden Einstellungen für die Verwendung von Zertifikaten bei einer Client-Einwahl.