Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 9 Nächste Version anzeigen »


Beschreibung:

In der Regel muss für jeden VPN-Einwahl-Zugang ein eigener Benutzer angelegt werden. In größeren Szenarien ist es daher sinnvoll eine IKEv2-Verbindung mit RADIUS-Weiterleitung einzurichten. Es muss dann lediglich ein VPN-Einwahl-Zugang im Router angelegt werden.

In diesem Artikel wird beschrieben wie eine IKEv2 Client-To-Site VPN-Verbindung zwischen einem Endgerät mit dem Advanced VPN Client und einem LANCOM Router eingerichtet werden kann. Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.



Voraussetzungen:
  • VPN fähiger Router in der Zentrale
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung in der Zentrale



Szenario:
  • Es soll eine VPN-Client-Einwahl in der Zentrale eingerichtet werden mit dem sich alle mobilen Mitarbeiter verbinden.
  • Die Authentifizierung erfolgt über den im LANCOM Router integrierten RADIUS-Server.
  • Die Zentrale hat den IP-Adressbereich 192.168.0.0/24.




Vorgehensweise:

1. Konfigurationsschritte auf dem Router in der Zentrale:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü VPN -> Allgemein.



1.2 Passen Sie folgende Parameter an:
  • Wählen Sie bei Virtual Private Network im Dropdownmenü Aktiviert aus.
  • Setzen Sie den Haken bei NAT-Traversal aktiviert.
  • Setzen Sie den Haken bei IPSec-over-HTTPS annehmen.



1.3 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Erweiterte Einstellungen.



1.4 Tragen Sie in dem Feld Passwort ein Challenge-Passwort ein. Dieses erhält der RADIUS-Server im Access-Request-Attribut als Benutzer-Passwort.
    Info:
    Der RADIUS-Server ordnet das Challenge-Passwort im Normalfall direkt einer VPN-Gegenstelle zu . Bei IKEv2 autorisiert aber nicht der RADIUS-Server die anfragende VPN-Gegenstelle, sondern das VPN-Modul . Nachdem das VPN-Modul die Access-Accept Nachricht vom RADIUS-Server erhalten hat, authentifiziert das VPN-Modul die VPN-Gegenstelle .



1.5 Wechseln Sie bei RADIUS-Authentifizierung in das Menü RADIUS-Server.



1.6 Hinterlegen Sie folgende Parameter:
  • Name: Geben Sie einen aussagekräftigen Namen an.
  • Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
  • Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.



1.7 Tragen Sie bei Update-Zyklus den Wert 60 ein, damit alle 60 Sekunden ein Update des Accounting erfolgt.
    Wichtig:
    Der Update-Zyklus muss auf einen Wert ungleich 0 gesetzt werden, da bei hinterlegtem Wert 0 das Update deaktiviert ist!


1.8 Wechseln Sie bei RADIUS-Accounting in das Menü RADIUS-Server.



1.9 Hinterlegen Sie folgende Parameter:
  • Name: Geben Sie einen aussagekräftigen Namen an.
  • Server Adresse: Hinterlegen Sie die Loopback-Adresse 127.0.0.1.
  • Port: Stellen Sie sicher, dass der Port 1813 hinterlegt ist.



1.10 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Authentifizierung.



1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Lokaler Identitätstyp: Wählen Sie aus dem Dropdown-Menü einen Identitätstyp, etwa Fully Qualied Domain Name (FQDN).
  • Lokale Identität: Vergeben Sie eine zu dem gewählten Identitätstyp passende Lokale Identität.



1.12 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> IPv4-Adressen.



1.13 Erstellen Sie sofern noch nicht vorhanden einen neuen Eintrag für den Einwahl-Adressbereich und hinterlegen folgende Parameter:
  • Name: Vergeben Sie einen aussagekräftigen Namen.
  • Erste Adresse: Hinterlegen Sie die erste IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
  • Letzte Adresse: Hinterlegen Sie die letzte IP-Adresse, welche den VPN-Clients zugewiesen werden soll.
  • Erster DNS: Hinterlegen Sie die IP-Adresse eines DNS-Servers. Dieser wird den VPN-Clients als erster DNS-Server zugewiesen. Im Regelfall wird die IP-Adresse des Routers verwendet.



1.14 Wechseln Sie in das Menü VPN -> IKEv2/IPSec -> Verbindungsliste.



1.15 Bearbeiten Sie den Eintrag DEFAULT und ändern folgende Parameter:
  • Authentifizierung: Wählen Sie im Dropdown-Menü das in Schritt 1.11 erstellte Authentifizierungs-Objekt aus.
  • IPv4-Regeln: Wählen Sie im Dropdown-Menü das Objekt RAS-WITH-NETWORK-SELECTION aus.
  • IKE-CFG: Wählen Sie im Dropdown-Menü Server aus.
  • IPv4-Adress-Pool: Wählen Sie im Dropdown-Menü das in Schritt 1.13 erstellte Einwahl-Adress-Objekt aus.
  • RADIUS-Auth.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.6 erstellte RADIUS-Objekt aus.
  • RADIUS-Acc.-Server: Wählen Sie im Dropdown-Menü das in Schritt 1.9 erstellte Accounting-Objekt aus.
    Info:
    Die Anpassung des Profils DEFAULT hat keine Auswirkungen auf bereits bestehende Einwahl-VPN-Verbindungen.



1.16 Wechseln Sie in das Menü RADIUS -> Server und setzen jeweils einen Haken bei RADIUS-Authentisierung aktiv und bei RADIUS-Accounting aktiv.



1.17 Wechseln Sie in das Menü RADIUS-Dienste Ports.



1.18 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 und bei Accounting-Port der Port 1813 hinterlegt ist.



1.19 Wechseln Sie in das Menü Benutzerkonten.



1.20 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
  • Name / MAC-Adresse: Vergeben Sie einen aussagekräftigen Namen.
  • Passwort: Hinterlegen Sie das in Schritt 1.4 vergebene Challenge-Passwort.
  • Tunnel-Passwort: Vergeben Sie ein Passwort, mit dem der Einwahl-Benutzer sich am VPN-Modul authentifiziert.
  • Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus.
  • Deaktivieren Sie die Mehrfache Anmeldung.



1.20 Schreiben Sie die Konfiguration in den Router zurück. Die Konfiguration des Routers ist damit abgeschlossen.



2. Konfigurationsschritte im Advanced VPN Client:

2.1 Öffnen Sie den Advanced VPN Client und wechseln in das Menü Konfiguration -> Profile.



2.2 Klicken Sie auf Hinzufügen/Import, um einen neuen VPN-Zugang zu erstellen.



2.3 Wählen Sie Verbindung zum Firmennetz über IPSec.



2.4 Vergeben Sie einen aussagekräftigen Namen.



2.5 Wählen Sie das Verbindungsmedium aus.
    Info:
    Werden wechselnde Verbindungsmedien verwendet (z.B. LAN und WLAN ), verwenden Sie das Verbindungsmedium automatisch .



2.6 Geben Sie die öffentliche IP-Adresse oder den DynDNS-Namen der Zentrale an.



2.7 Setzen Sie den Austausch-Modus auf IKEv2 und die PFS-Gruppe auf DH14 (modp2048).



2.8 Hinterlegen Sie folgende Parameter:
  • Typ: Wählen Sie im Dropdown-Menü den Identitätstyp Fully Qualified Username (FQUN) aus.
  • ID: Hinterlegen Sie den in Schritt 1.20 vergebenen Namen / MAC-Adresse.
  • Shared Secret: Hinterlegen Sie das in Schritt 1.20 vergebene Tunnel-Passwort.



2.9 Wählen Sie im Dropdown-Menü IKE Config Mode verwenden aus, damit dem VPN-Client die IP-Adresse automatisch durch den Router zugewiesen wird.



2.10 Hinterlegen Sie zwecks Verwendung der Funktion Split-Tunneling das Zielnetz, welches über den VPN-Tunnel erreicht werden soll.
    Wichtig:
    Ohne konfiguriertes Split-Tunneling wird bei aufgebautem VPN-Tunnel aller Datenverkehr über den VPN-Tunnel übertragen, also auch der für das lokale Netzwerk oder das Internet bestimmte Datenverkehr. Dies kann zu Kommunikations-Problemen führen!



2.11 Die Konfigurationsschritte im Advanced VPN Client sind damit abgeschlossen.



  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH